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APRESENTAÇÃO 


Esta é a segunda edição do Referencial de Combate a Fraude e Corrupção, 
inicialmente publicado em dezembro de 2016. Essa nova edição, em menos de 
dois anos, demonstra a importância e a dinâmica que a temática de combate à 
fraude e à corrupção apresenta no Brasil e no mundo. No Brasil, várias pesquisas 
de opinião apontam que a principal preocupação dos brasileiros atualmente é 
com a corrupção, à frente de questões históricas como educação, saúde e em- 
prego. É em atenção a essa preocupação que o Tribunal de Contas da União 
(TCU) atualiza este referencial, para continuar oferecendo o que há de mais 
novo nesse combate. 


No âmbito internacional, uma nova norma de sistemas de gestão antissuborno 
foi publicada — a ISO NBR 37001, que se aplica tanto às organizações privadas 
quanto públicas e prescreve medidas para prevenir, detectar e responder ao ris- 
co de suborno. Por ser internacional, tal norma se torna atrativa para empresas 
estatais que atuam em outros países ou com empresas estrangeiras. 


No âmbito nacional, novas normas também foram editadas, robustecendo o 
arcabouço legal disponível para fazer frente a fraude e corrupção, como a Lei 
nº 13.460, de 2017, que dispõe da defesa dos direitos do usuário dos serviços 
da administração pública; o Decreto nº 9.203, de 2017, que dispõe da política 
de governança da administração pública federal; e a Portaria CGU nº 1.089, de 
2018, que orienta a estruturação de programas de integridade. 


Em alguns casos, o que o referencial antes apresentava como uma boa prática 
internacional está agora normatizado, a exemplo da exigência de canais de de- 
núncias e programas de integridade. 


Fiel à missão de “aprimorar a Administração Pública em benefício da sociedade 
por meio do controle externo”, o Tribunal espera, com essa segunda edição, 
contribuir para que as organizações públicas possam se proteger da fraude e 
corrupção, e assim possam oferecer o serviço público que os brasileiros tanto 
anseiam e merecem. 


Raimundo Carreiro 
Presidente do TCU 
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INTRODUÇÃO 


1.1. OBJETIVO DO REFERENCIAL 


o ano VI a.C., o estadista ateniense 

Sólon da Grécia estava disposto a 

perdoar todas as dívidas das pes- 
soas com entes públicos e privados. O no- 
bre propósito era evitar que elas se tornas- 
sem escravas caso não honrassem a dívida, 
como costume da época. No entanto, antes 
de aprovar a lei, contou a amigos que, se 
aproveitando da informação privilegiada, 
pegaram grandes empréstimos e compra- 
ram terras. Após a lei perdoando as dívidas, 
seus amigos enriqueceram. 


O relato acima mostra que a corrupção é 
uma prática antiga que existe desde os pri- 
mórdios das sociedades. Relatos de abuso 
de poder para obtenção de vantagens inde- 
vidas sempre existiram ao longo da história, 
e no Brasil não foi diferente. No noticiário 
brasileiro recente, avolumam-se investiga- 
ções de fraudes cometidas contra o patri- 
mônio público. Os esquemas desbaratados 
mostram que a administração pública está 
sob o ataque de quadrilhas especializadas 
em diversas frentes. Não por acaso, a inves- 
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tigação chamada de “Operação Lava Jato” 
inaugurou um novo patamar para os des- 
vios, que passou de milhões para a casa dos 
bilhões de reais. 


Essa realidade mostra que praticamente 
qualquer organização, como órgãos, au- 
tarquias, empresas públicas, sociedades de 
economia mista, parcerias público-privadas, 
fundações, organizações sociais, fundos de 
pensão etc., está sob risco de fraude e cor- 
rupção, bastando a existência de recursos 
públicos disponíveis para atrair a cobiça 
dessas máfias. Por vezes, nem isso é neces- 
sário. O poder regulatório ou decisório de 
um órgão ou entidade sobre questões que 
afetem o mercado ou o patrimônio de parti- 
culares atraem igualmente esse risco. 


Ao mesmo tempo que isso ocorre, gestores 
dos mais variados órgãos e entidades, das 
três esferas e dos três poderes, lutam para 
melhorar a administração pública, em espe- 
cial os serviços públicos. A sociedade cobra, 
e com razão, padrões cada vez mais altos 
de serviços, elevando os desafios da ativi- 
dade para os gestores. No entanto, haverá 


um momento em que nem mais recursos ou 
servidores serão suficientes para atenuar e 
fazer frente às consequências dos desvios. 


Assim, é preciso reconhecer a fraude e 
a corrupção como grandes obstáculos ao 
progresso social do país. Nesse sentido, 
torna-se necessário um salto de qualida- 
de na governança e gestão pública, por 
meio da redução dos níveis de fraude e 
corrupção a patamares similares aos de 
Este 
visa justamente contribuir para o alcance 


países desenvolvidos. referencial 


desse objetivo. 


Entretanto, a mensuração do nível de cor- 
rupção de um país é dificultada por sua pró- 
pria natureza oculta. Apenas os casos que 
são descobertos podem ser aferidos, e a 
partir deles pode-se tentar inferir o montan- 
te não descoberto. Em vista dessa dificul- 
dade, uma forma indireta de se mensurar a 
corrupção é avaliando a percepção de cor- 
rupção que entidades têm de um país. 


A organização não governamental Trans- 
parência Internacional! adota esse método, 
publicando anualmente o Índice de Percep- 
ção de Corrupção de 180 países, com base 
em estudos de instituições independentes 
especializadas em governança e análise do 


ambiente de negócios. Em 2017, o Brasil 
obteve a 96º posição no ranking, represen- 
tando o quarto ano seguido de piora. Isso 
dá uma medida do quanto a gestão pública 
brasileira ainda precisa melhorar no comba- 
te à corrupção. 


Essa é uma cruzada mundial. A Organiza- 
ção das Nações Unidas (ONU) estabeleceu 
a Agenda 2030, que incluiu os Objetivos de 
Desenvolvimento Sustentáveis.? O objetivo 
16.5 dispõe que “reduzir substancialmente 
a corrupção e o suborno em todas as suas 
formas” é uma meta global’. 


No Brasil, o combate à fraude e corrup- 
ção se dá pela atuação de diversos ór- 
gãos, cada um em sua esfera e escopo de 
atuação. O Tribunal de Contas da União 
(TCU) integra essa rede como um ator 
importante, uma vez que sempre atuou 
para combater a fraude e a corrupção via 
controle externo. Além do papel fiscaliza- 
dor e sancionador, o TCU reconhece que 
é importante contribuir com os gestores, 
dando orientações e assim prevenindo 
desvios. Por esse motivo, o Tribunal ela- 
borou este referencial. 


Seu propósito é compilar o conhecimento 
prático que vem sendo aplicado por orga- 


1 Disponível em: <http://www.transparency.org>. Acesso em: 10 ago. 2018. 


2 Disponível em: <https://nacoesunidas.org/pos2015/agenda2030/>. Acesso em: 10 ago. 2018. 


3 “Diversos fenômenos verificados no cenário internacional ao longo das duas últimas décadas do século XX levaram a Comuni- 
dade Internacional a repensar as posturas até então adotadas para enfrentar a corrupção, tema até então tratado como de interes- 
se interno de cada país e incapaz de ser enfrentado no plano internacional ou multilateral. Ao longo dos últimos anos, verificou-se 
verdadeira inversão na postura da Comunidade Internacional, que passou a tratar a corrupção como um dos temas mais relevantes 


em suas áreas de atuação" (FURTADO, 2015, p. 382). 
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nizações públicas e privadas, dentro e fora 
do Brasil, no combate a fraude e corrupção, 
e disseminá-lo aos gestores públicos de to- 
das as esferas de governo. A experiência 
mostra que não há medida única, ou desas- 
sociada da governança e da gestão, que seja 
capaz de resolver esse problema por conta 
própria. O combate a fraude e corrupção se 
faz no dia a dia, em diversas frentes e por 
todos os membros da organização. 


Para elaboração deste referencial, diversos 
documentos correlatos, normas e padrões 
foram consultados, dentre os quais: 


= A framework for managing fraud risks 
in federal programs (UNITED STATES OF 
AMERICA, 2015); 


= AS 8001-2008 fraud and corruption 
control (STANDARDS AUSTRALIA, 2008); 


=" Fraud control in Australian government 
entities (AUSTRALIAN NATIONAL AUDIT 
OFFICE, 2011); 


= Fraudexaminersmanual(ASSOCIATION 
FOR CERTIFIED FRAUD EXAMINERS, 
2015); 


= Guia de avaliação de risco de corrupção 
(UNITED NATIONS GLOBAL COMPACT, 
2013); 


Entao INTRODUÇÃO ataj" fetan gja" ÃO, "quo, e anga" jnn penganan 


Guia de integridade pública: orienta- 
ções para a administração pública fe- 
deral: direta, autárquica e fundacional 
(BRASIL, 2015a); 


Managing the business risk of fraud: a 
practical guide (THE INSTITUTE OF 
INTERNAL AUDITORS, 2008); 


Manual de direito disciplinar para em- 
presas estatais (BRASIL, 2015c); 


Manual de processo administrativo 
disciplinar (BRASIL, 2015b); 


ABNT NBR ISO 31000: gestão de riscos: 
princípios e diretrizes (ASSOCIAÇÃO BRA- 
SILEIRA DE NORMAS TÉCNICAS, 2018); 


ABNT NBR ISO 37001: Sistemas de ges- 
tão antissuborno: requisitos com orien- 
tações para uso (ASSOCIAÇÃO BRASI- 
LEIRA DE NORMAS TÉCNICAS, 2017); 


Referencial básico de governança apli- 
cável a órgãos e entidades da adminis- 
tração pública (BRASIL, 2014); 


Tackling external fraud (NATIONAL 
AUDIT OFFICE, 2008); 


The three lines of defense in effective risk 
management and controls (THE INSTITUTE 
OF INTERNAL AUDITORS, 2015). 


4 Neste referencial, o termo “organização” se refere a qualquer órgão, autarquia, fundação, empresa pública ou de economia mis- 
ta, conselhos profissionais, organizações sociais e outras entidades de natureza pública dos três poderes e das esferas federal, es- 


tadual e municipal. 
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Em vista disso, parte do conteúdo desse re- 
ferencial é orientativo, não tendo, portan- 
to, caráter normativo ou vinculante, e parte 
é baseada em normativos legais. Logo, as 
partes orientativas descritas neste docu- 
mento não criam direitos ou garantias nem 
substituem as leis específicas, decretos, 
resoluções, portarias ou instruções norma- 
tivas, ou qualquer outro documento norma- 
tivo aplicável à organização. 


1.2. PÚBLICO-ALVO DO REFERENCIAL 


Este referencial foi elaborado para uso de ser- 
vidores” de entidades e órgãos públicos de 
qualquer hierarquia na organização, desde 
recém-empossados até a alta administração, 
uma vez que o combate a fraude e corrupção 
é dever de todos que se ocupam da adminis- 
tração pública. Além dos servidores em geral, 
cabe à auditoria interna um papel importante 
nesse enfrentamento, de modo que várias prá- 
ticas apresentadas são exclusivas da auditoria 
interna ou contam com a sua participação. 


Em termos da natureza jurídica da organi- 
zação, o referencial foi concebido para aju- 
dar qualquer organização pública, seja da 
administração direta ou indireta, empresas 
públicas e de economia mista, conselhos 
profissionais ou, organizações sociais, de 
qualquer poder ou esfera, federal, estadu- 
al e municipal. Mas isso não significa que 


todas as práticas recomendadas devam ser 
adotadas por todas as organizações. 


Dependendo das características da organi- 
zação, como porte, atividade exercida e na- 
tureza jurídica, algumas práticas se aplicam 
integral ou parcialmente e outras podem 
não se aplicar. Cabe aos gestores a discri- 
cionariedade de decidir a melhor forma de 
preparar sua organização para combater a 
fraude e a corrupção. 


1.3. CONCEITOS FUNDAMENTAIS 


Neste referencial, os termos “fraude” e “cor- 
rupção” são mencionados exaustivamente. 
No entanto, não existe um consenso inter- 
nacional sobre a definição desses termos. A 
própria Convenção das Nações Unidas con- 
tra a Corrupção (UNITED NATIONS, 2004) 
não apresenta uma definição para o termo 
“corrupção”. O resultado é que cada país ou 
entidade internacional define-os conforme 
seu contexto jurídico. Contudo, para unifor- 
mização do entendimento, alguns conceitos 
básicos de fraude e corrupção são apresenta- 
dos conforme são adotados pelo referencial. 


1.3.1. Fraude 


Pela norma ISA 240 da laasb$, fraude é um 
“ato intencional praticado por um ou mais 
indivíduos, entre gestores, responsáveis 


5 Neste referencial, o termo “servidor” se refere a todo aquele que preste serviço de natureza permanente, temporária, excepcional ou eventual, 
ainda que sem retribuição financeira, desde que ligado a qualquer órgão ou entidade da administração pública federal, estadual ou municipal. 


6 International Auditing and Assurance Standards Board é um órgão normalizador independente, definindo padrões internacionais pa- 
ra auditoria, controle da qualidade, avaliação e serviços relacionados, facilitando a convergência das normas nacionais e internacionais. 
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pela governança, empregados ou terceiros, 
envolvendo o uso de falsidade para obter 
uma vantagem injusta ou ilegal”. 


Outra definição internacional vem da obra 
Managing the business risk of fraud: a 
practical guide”: fraude é qualquer ato ou 
omissão intencional concebido para enga- 
nar os outros, resultando em perdas para a 
vítima e/ou em ganho para o autor. 


Nas Normas Brasileiras de Contabilidade?, 
o termo fraude se refere ao ato intencional 
de omissão ou manipulação de transações, 
adulteração de documentos, registros e de- 
monstrações contábeis. A fraude pode ser 
caracterizada por manipulação, falsificação 
ou alteração de registros ou documentos, 
de modo a modificar os registros de ativos, 
passivos e resultados; apropriação indébita 
de ativos; supressão ou omissão de tran- 
sações nos registros contábeis; registro de 
transações sem comprovação; e aplicação 
de práticas contábeis indevidas. 


A intenção é um elemento importan- 
te para diferenciar a fraude do erro. O 
erro, ainda que possua grande potencial 
de prejuízo, não é objeto deste referen- 


cial. Fraudes também podem ocorrer por 
omissão. Quanto ao benefício, em geral 
implica em ganhos para o agente ou para 
terceiros, mas não necessariamente exis- 
tirá — a fraude pode ocorrer pela lesão 
intencional, ainda que o agente não se 
beneficie dela. Pode até ocorrer sem le- 
são, desde que o agente esteja se bene- 
ficiando. Existindo ganho, este pode ser 
direto —- o mais comum, ou indireto, por 
recebimento de vantagem, mesmo que 
sem valoração financeira. 


1.3.2. Corrupção 


Na legislação penal brasileira, em sentido 
estrito, a corrupção se apresenta de duas 
formas: corrupção ativa e corrupção passi- 
va, que suscintamente significam oferecer 
ou solicitar alguma vantagem indevida, 
respectivamente. No cotidiano, contudo, 
a corrupção é um termo guarda-chuva que 
abriga diversas outras condutas. O dia- 
grama” abaixo, de autoria do Ministério 
Público Federal (MPF), relaciona as con- 
dutas que caracterizam o comportamento 
corrupto pelo ordenamento nacional, e 
incluem tanto as infrações penais quanto 
civis e administrativas. 


7 Editado em conjunto pelo Institute of Internal Auditors, The American Institute of Certified Public Accountants e Association of 


Certified Fraud Examiners. 


8 NBC T 11 -IT — 03 — fraude e erro. 


9 Disponível em: <http://combateacorrupcao.mpf.mp.br/tipos-de-corrupcao>. Acesso em: 10 ago. 2018. 


E.E | E 14 | Referencial de Combate a Fraude e Corrupção 


Figura 1. Condutas que fazem parte do gênero “corrupção” 
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Fonte: MPF (2016) 
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Todas essas condutas apresentam as suas 
especificidades, mas podem ser agrupadas 
pela definição de “corrupção” adotada 
pela Transparência Internacional: “corrup- 
ção é o abuso do poder confiado para ga- 
nhos privados”. 


Abuso de poder envolve a prática de atos 
ilícitos ou ilegítimos de forma deliberada 
ou intencional, e é caracterizado pela que- 
bra de confiança por parte do agente que 
comete o ato. Pode envolver agentes pú- 
blicos ou privados. O ganho privado, ain- 
da que seja, geralmente, de ordem eco- 
nômica, pode ser de qualquer natureza, 
inclusive a fuga de uma obrigação; pode 
ser repassada direta ou indiretamente 
ao beneficiário; e pode ser destinada ao 
agente que comete o abuso de poder ou 
a um terceiro. 


A Transparência Internacional ainda classifica 
a corrupção como grande, pequena e políti- 
ca, dependendo da quantidade de dinheiro 
desviado e do setor em que ela ocorre. 


A grande corrupção consiste em atos co- 
metidos no alto nível de governo que dis- 
torcem as políticas ou o funcionamento 
central do Estado, permitindo que os líde- 
res se beneficiem à custa do bem público, 
envolvendo somas expressivas de recur- 
sos e visando o enriquecimento pessoal 
ou o financiamento político. Tal modali- 
dade conta com a participação da classe 
política, de altos funcionários públicos e 
da elite empresarial. 
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A pequena corrupção envolve valores meno- 
res e ocorre de forma isolada, referindo-se ao 
abuso diário do poder confiado a servidores 
de nível baixo e médio em suas interações 
com os cidadãos comuns, que, muitas vezes, 
estão tentando acessar bens ou serviços bá- 
sicos em hospitais, escolas, departamentos 
de polícia e outras organizações. 


A corrupção política é uma manipulação de 
políticas, instituições e regras de procedi- 
mento na alocação de recursos e financia- 
mentos pelos decisores políticos, que abu- 
sam de sua posição para sustentar o seu 
poder, status e riqueza. 


Outro conceito relevante é o de corrup- 
ção sistêmica, que se concretiza quando 
a corrupção é criada ou estimulada pelo 
próprio sistema, em razão de suas inefici- 
ências, falta de rigor e excesso de infor- 
malidade (ou de burocracia). Nessas situ- 
ações, o pagamento de suborno é prática 
corrente, tanto para se obter serviços re- 
gulares como para burlar as normas apli- 
cáveis. As instituições políticas e econô- 
micas estão contaminadas pela corrupção 
e existe alto nível de tolerância quanto às 
práticas corruptas, tanto por parte dos 
agentes políticos como por parte da po- 
pulação. Nesse contexto, as instituições 
são fracas ou inexistentes, o judiciário não 
é independente, não há supervisão legis- 
lativa, e a sociedade civil e a mídia não 
são atuantes. 


Em face das diversas definições, os termos 


“fraude” e “corrupção” serão usados em 
conjunto neste referencial, como um binô- 
mio, para expressar tanto o abuso de po- 
der'º quanto o falseamento ou ocultação 
da verdade, com vistas a enganar terceiros, 
sendo ambos para obter vantagem indevi- 
da para si ou para outrem. 


1.3.3. Teoria do triângulo da fraude 


A fraude nas organizações foi objeto de es- 
tudo de Donald R. Cressey (1953), que teo- 
rizou um modelo que ficou conhecido como 
“Triângulo da fraude”. Por esse modelo, 
para que uma fraude ocorra é necessária a 
ocorrência de três fatores: pressão, oportu- 
nidade e racionalização. 


Figura 2. Triângulo da fraude 


Y Pressão A 


TRIÂNGULO 
DA FRAUDE 


Racionalização 


Fonte: ACFE (2015) 


A primeira aresta do triângulo da fraude 
é a pressão, mas em algumas representa- 
ções do triângulo essa aresta é também 


chamada de incentivo ou motivação. A 
pressão é o que motiva o crime em pri- 
meiro lugar. Essa pressão pode ter várias 
origens, mas em geral se trata de algum 
problema financeiro do indivíduo que, 
por não conseguir resolvê-lo por meios 
legítimos, passa a considerar cometer 
uma ilegalidade. A pressão pode ter ori- 
gem pessoal ou profissional. Exemplos 
de pressão podem ser incapacidade de 
honrar as suas dívidas pessoais, vício no 
jogo ou em drogas, problemas de saúde, 
metas de produtividade no trabalho e o 
desejo por um padrão de vida superior. 


A segunda aresta, oportunidade, refe- 
re-se às fraquezas do sistema, em que o 
servidor tem o poder e habilidade para 
explorar uma situação que possibilita a 
fraude. A oportunidade define o méto- 
do com que a fraude será cometida. O 
indivíduo deve vislumbrar uma forma de 
usar e abusar de sua posição de confian- 
ça para resolver o seu problema financei- 
ro, aliada a uma percepção do baixo risco 
de ser pego. A oportunidade é criada por 
controles ineficazes e falhas na governan- 
ça e, quanto maior for a percepção de 
oportunidade, maior a probabilidade de 
a fraude ocorrer. Outros fatores relacio- 
nados com a percepção de oportunida- 
de são: a assunção de que a organização 
não está ciente; o fato de os servidores 
não serem verificados periodicamente 
quanto ao cumprimento das políticas; a 


10 O abuso de poder pode se dar tanto por ação quanto por omissão, porque ambos são capazes de afrontar a lei. 
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crença de que ninguém se importa nem 
vai considerar a transgressão grave. Mes- 
mo que a pressão seja extrema, a fraude 
não vai ocorrer se a oportunidade não es- 
tiver presente. 


A terceira aresta é a racionalização, que 
significa que o indivíduo formula algum 
tipo de racionalização moralmente acei- 
tável antes de transgredir e se envolver 
em comportamentos antiéticos. A racio- 
nalização refere-se à justificação de que o 
comportamento antiético é algo diferente 
de atividade criminosa. Os transgressores 


Pela teoria do triângulo se veem como pessoas comuns e hones- 


da fraude, é necessária a tas que são pegas em más circunstâncias. 
1 

As racionalizações comuns são “eu estava 

ocorrência de três fatores: apenas pegando o dinheiro emprestado”, 


pressão, oportunidade "eu merecia esse dinheiro”, “eu tinha que 
desviar o dinheiro para ajudar minha famí- 
e racionalização. lia”, “eu não recebo o salário que mere- 


ço”, “minha organização é desonesta com 
outros e merece ser trapaceada”. 


A partir do triângulo da fraude, outra te- 
oria introduziu o “diamante da fraude”. 
Nesse modelo, a nova aresta é a capa- 
cidade. Isso significa que para a fraude 
ocorrer, além dos fatores do triângulo 
da fraude, o transgressor precisa ter as 
habilidades pessoais e técnicas para co- 
meter a fraude. Assim, a pressão é a cau- 
sa-raiz da fraude, que leva o indivíduo a 
racionalizar e buscar uma oportunidade, 
e quando esse cenário está montado, 
bastaria a capacidade do indivíduo para 
a fraude ocorrer. 
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Figura 3. Diamante da fraude 


DIAMANTE 
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Fonte: ACFE (2015) 
1.3.4. Três linhas de defesa 


Em uma organização moderna, é comum 
que vários setores sejam de alguma for- 
ma responsáveis por tratar dos riscos da 
organização, inclusive os riscos de fraude 
e corrupção. Auditores internos, contro- 


ladores financeiros e de qualidade, segu- 
rança patrimonial e de TI são exemplos de 
grupos de profissionais que lidam com a 
gestão de riscos. 


A questão é como coordenar todos esses 
atores para que seus papéis fiquem cla- 
ros, evitando a duplicação de esforços 
ou, pior ainda, as lacunas nos controles. 
O modelo de três linhas de defesa pro- 
põe a designação das responsabilidades 
em forma de coordenação entre os en- 
volvidos, e não a criação de estruturas 
departamentais para atendê-lo. A dis- 
tribuição das responsabilidades dos pa- 
péis pode baseada na estrutura existen- 
te da organização. O modelo pode ser 
visto abaixo: 


Figura 4. Declaração de Posicionamento do IIA: as três linhas de defesa do gerenciamento eficaz de 


riscos e controles 
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Fonte: IIA (2013) 


Referencial de Combate a Fraude e Corrupção |19 m E | = E 


Ea" [= "28 INTRODUÇÃO pf=]" ]="se"go ão, 


A primeira linha de defesa é composta pelos 
controles internos operacionais, dos gestores 
e diretos sobre as atividades. Os gestores de- 
têm os riscos do negócio e os gerenciam. Eles 
são responsáveis por implementar medidas 
de controle preventivas, detectivas e correti- 
vas nos processos sob sua responsabilidade, 
para manter um controle interno efetivo. Os 
gestores devem identificar, avaliar e controlar 
os riscos, contribuindo para melhorar o cum- 
primento das políticas internas e assegurando 
que as atividades desenvolvidas sejam com- 
patíveis com os objetivos da organização. 


Gestores e suas medidas de controle repre- 
sentam a primeira linha de defesa, por esta- 
rem mais próximos da execução das ativida- 
des cotidianas da organização. É por isso que 
eles têm a capacidade de identificar primeiro 
os problemas na execução das atividades e 
de responder a esses problemas. Como de- 
corrência disso, são os responsáveis por de- 
finir e implementar os controles necessários. 


Na segunda linha de defesa está a função 
de gerenciamento de riscos, ou a coordena- 
ção dessa função, que serve para monitorar 
e contribuir para a implementação de prá- 
ticas de gerenciamento de risco na primei- 
ra linha de defesa. Aqueles nessa linha de 
defesa assistem aos gestores na definição 


de tolerâncias ao risco e na forma como as 
informações de risco e controles são divul- 
gadas internamente na organização. 


Além da função de gerenciamento de riscos, 
também podem-se incluir nessa linha de defesa 
as atividades de conformidade (compliance""), 
o que significa monitorar os riscos de descon- 
formidade com leis e regulamentos; a função 
de controladoria, que monitora os riscos finan- 
ceiros, e a função antifraude e anticorrupção, 
que monitora o risco de fraude e corrupção. 


As atividades da segunda linha de defesa 
possuem alguma independência da primei- 
ra linha de defesa; no entanto, como a se- 
gunda linha de defesa também trata de ati- 
vidades que, por natureza, pertencem aos 
gestores, no caso, gestores de risco, eles 
podem intervir diretamente na definição 
e implementação dos controles. Isso com- 
promete sua capacidade em oferecer uma 
análise totalmente independente à alta ad- 
ministração e aos órgãos de governança. 


A terceira linha de defesa é composta pela 
auditoria interna da organização. Cabe à au- 
ditoria interna fornecer à alta administração? 
e aos órgãos de governança a avaliação ob- 
jetiva e independente quanto à eficácia dos 
processos de gerenciamento de risco, con- 


11 O termo compliance tem origem no verbo em inglês to comply, que significa agir de acordo com uma regra, uma instrução inter- 
na, um comando ou um pedido, ou seja, estar em compliance é estar em conformidade com leis e regulamentos externos e internos. 
Disponível em: <https://michaellirajusbrasilcom.br/artigos/1 12396364/0-que-e-compliance-e-como-o-profissional-da-area-de- 


ve-atuar>. Acesso em: 10 ago. 2018. 


12 Neste referencial, o termo “alta administração” se refere à autoridade máxima e dirigentes superiores da organização. No execu- 
tivo federal, o art. 2º, II, do Decreto nº 9.203/20177 define “alta administração — Ministros de Estado, ocupantes de cargos de natu- 
reza especial, ocupantes de cargo de nível 6 do Grupo-Direção e Assessoramento Superiores — DAS e presidentes e diretores de 
autarquias, inclusive as especiais, e de fundações públicas ou autoridades de hierarquia equivalente”, 
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trole e governança. O escopo dessa avalia- 
ção tipicamente inclui: a eficiência e eficácia 
das operações; a salvaguarda dos ativos; a 
confiabilidade e integridade das informações 
financeiras e operacionais, e a conformidade 
com leis, regulamentos e contratos. O esta- 
belecimento da função de auditoria interna 
deve ser um compromisso da governança 
em qualquer organização. A auditoria interna 
deve seguir padrões para o desempenho das 
suas atividades e reportar-se funcionalmente 
à mais alta instância interna de governança 


e, administrativamente, à alta administração. Os gestores são a primeira 
linha de defesa por estarem 
As atividades e estruturas descritas nas três mais próximos da execução 
linhas de defesa dizem respeito à própria es- das atividades cotidianas 
trutura da organização e reportam-se à alta da organização. 


administração e/ou aos conselhos e comitês 
de auditoria, por exemplo. Externamente à 
organização, existem os órgãos de controle 


externo, os ministérios públicos, as polícias É por isso que eles têm a 
judiciárias e, eventualmente, dependendo capacidade de identificar 
da atividade, as entidades reguladoras. Es- primeiro os problemas na 
sas instâncias podem ser consideradas linhas execução das atividades e de 


de defesa adicionais, mas que estão fora da responder a esses problemas. 
governança e gestão da organização. 

Todas as linhas de defesa devem existir de 
alguma forma em todas as organizações, 
independentemente de tamanho ou com- 
plexidade. A gestão de riscos normalmente 
é mais forte quando existem três linhas de 
defesa separadas e claramente identifica- 
das. No entanto, em casos excepcionais, 
especialmente em pequenas organizações, 
a primeira e a segunda linha de defesa po- 
dem ser combinadas. 


Referencial de Combate a Fraude e Corrupção |21 m E | = | 


Pã Lil INTRODUÇÃO pT=]".]="au"gfn"ai"a, 


1.4. GESTÃO DE RISCOS 


O risco de ocorrência de fraude e corrup- 
ção deve ser considerado pela organização 
em suas atividades. A forma como isso é 
realizado assume comumente o nome de 
gestão de riscos de fraude e corrupção, 
sendo crucial para identificar, analisar e 
tratar incidentes com potenciais lesivos à 
organização, seja impedindo sua ocorrên- 
cia ou minimizando seus impactos. 


A gestão de riscos de fraude e corrupção 
deve estar integrada à atividade de ges- 


Figura 5. Relação entre os vários riscos da organização 


tão de riscos da organização, que é uma 
atividade mais ampla, uma vez que inclui 
uma visão sistêmica dos riscos mais rele- 
vantes a que a organização está exposta. 


Os riscos de fraude e corrupção podem ter 
interseções com outros riscos da organiza- 
ção, de modo que a sua efetiva abordagem 
precisa considerar a existência de riscos de 
diferentes naturezas. 


Inversamente, controles existentes para 
um tipo de risco podem mitigar riscos de 
outras naturezas. 


Gestão de riscos da organização 
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Fonte: ANAO (2011) 


Diferentes tipos de riscos ameaçam uma 
organização. Os riscos operacionais são 
eventos que podem comprometer as ati- 
vidades rotineiras da organização; riscos 
legais decorrem de alterações legislativas 
e normativas que afetam as atividades da 
entidade; os riscos de tecnologia da infor- 
mação são ameaças que exploram vulne- 
rabilidades dos ativos informacionais da 
organização; os riscos patrimoniais são 
ameaças de perdas nos ativos tangíveis e 
intangíveis; e os riscos de fraude e corrup- 
ção são a possibilidade da prática de con- 
dutas contra o patrimônio ou os interesses 
da organização. 


Um ativo intangível muito valioso para qual- 
quer organização é a sua reputação. O valor 
da reputação, por ser de difícil apreciação, 
acaba sendo negligenciado pelos gestores. 


O gerenciamento de riscos consiste na 
identificação, avaliação e priorização de 
riscos, seguida de uma aplicação coorde- 
nada e econômica de recursos para mini- 
mizar, monitorar e controlar a probabilida- 
de e o impacto de eventos negativos ou 
maximizar o aproveitamento de oportu- 
nidades. O objetivo da gestão de riscos 
é promover meios para que as incertezas 
não desviem os esforços da organização 
de seus objetivos!º. 


Todas as atividades de uma organização 
pública envolvem riscos decorrentes da 
natureza das atividades, de novas reali- 
dades, mudanças nas circunstâncias e nas 
demandas sociais, da própria dinâmica da 
administração pública, bem como da ne- 
cessidade de mais transparência e presta- 
ção de contas e do cumprimento de varia- 
dos requisitos legais e regulatórios. 


Por isso, elas precisam gerenciar riscos, 
identificando-os, analisando-os e, em se- 
guida, avaliando se devem ser modifica- 
dos por algum tratamento de modo a criar 
as condições para o alcance de seus obje- 
tivos e propósitos. 


A gestão de riscos, corretamente imple- 
mentada e aplicada de forma sistemática, 
estruturada e oportuna, gera benefícios 
que impactam diretamente os cidadãos 
e outras partes interessadas da organiza- 
ção. Assim, viabiliza o adequado suporte 
às decisões de alocação e uso dos recursos 
públicos, bem como aumenta a eficácia na 
consecução de objetivos, ao criar e prote- 
ger valor público mediante a otimização 
do desempenho na entrega de resultados. 


Para a implementação da gestão de riscos, 
a organização pode adotar padrões inter- 
nacionais como o Coso Il? e a NBR ISO 


13 Disponível em: <https://en.wikipedia.org/wiki/Risk management>. Acesso em: 10 ago. 2018. 


14 Trata-se de modelo de gestão (COMMITTEE OF SPONSORING ORGANIZATIONS OF TREADWAY COMMISSION, 2013) de 
riscos predominante no cenário corporativo internacional, especialmente na América do Norte, desenvolvido pela Pricewaterhouse- 
Coopers LLP sob encomenda do Committe of Sponsoring Organizations of the Treadway Commission (COSO), com o propósito de 
fornecer uma estratégia de fácil utilização pelas organizações para avaliar e melhorar o gerenciamento de riscos. 
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31000, aos quais a gestão de riscos de 
fraude e corrupção pode estar integrada!*. 


No âmbito do poder executivo federal, o 
Decreto nº 9.203, de 2017, define gestão 
de riscos como “processo de natureza per- 
manente, estabelecido, direcionado e mo- 
nitorado pela alta administração, que con- 
templa as atividades de identificar, avaliar 
e gerenciar potenciais eventos que possam 
afetar a organização, destinado a fornecer 
segurança razoável quanto à realização de 
seus objetivos”. 


Além desse decreto, a Instrução Norma- 
tiva Conjunta MP/CGU nº 1, de 10 de 
maio de 2016, trata da gestão de riscos 
no poder executivo federal, dispondo os 
princípios, objetivos, estrutura, política e 
as responsabilidades pela gestão de riscos 
na organização pública. 


1.4.1. NBR ISO 31000: gestão de riscos: 
princípios e diretrizes 


A NBR ISO 31000 fornece princípios e dire- 
trizes para gerenciar qualquer tipo de risco, 
no toda ou em parte de qualquer tipo de 
organização. Trata-se de uma norma geral, 
independente de indústria, setor ou área, e 
não concorre com outras normas sobre ges- 
tão de riscos em áreas específicas. 


Seus objetivos são servir como um guia 
em matéria de gestão de riscos e harmo- 
nizar os processos de gestão de riscos, 
fornecendo uma abordagem comum que 
possa ser aplicada a uma ampla gama de 
atividades, incluindo estratégias, decisões, 
operações, processos, funções, projetos, 
produtos, serviços e ativos. 


Figura 6. Processo de gestão de risco 
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Fonte: NBR ISO 31000 (2018) 


15 Os modelos citados foram concebidos pensando no setor privado, mas o uso desses modelos pode ser estendido ao setor pú- 
blico com as adaptações necessárias. A exemplo do Standards for Internal Controls in the Federal Government editado pelo Go- 
vernment Accountability Office e conhecido por Green Book. O Green Book é uma adaptação do Coso para o ambiente público 


norte-americano. 


16 Ver Anexo 1: relação entre Coso e gestão de risco de fraude. 


E.E | E 24 | Referencial de Combate a Fraude e Corrupção 


Nesse sentido, a NBR ISO 31000 pode ser 
aplicada no contexto de fraude e corrupção. 
Um processo robusto de avaliação de risco 
de fraude e corrupção envolve comunicação 
e consulta a servidores-chave em todos os 
níveis de uma organização, durante todas as 
fases do processo de gestão de riscos. Essa 
comunicação deve abordar questões relacio- 
nadas com o risco em si, as suas causas, o seu 
impacto e as medidas tomadas para tratá-lo. 


Essa abordagem assegura que os respon- 
sáveis pela implementação do processo de 
gestão de riscos e as partes interessadas 
compreendam a base de tomada de deci- 
são e as razões pelas quais ações específi- 
cas são necessárias. 


Estabelecer o contexto é fundamental e en- 
volve articular os objetivos da organização e 
os parâmetros externos e internos a serem 
levados em conta na gestão de riscos. Essa 
etapa também define os critérios de escopo 
e de risco para o resto do processo. 


A identificação de riscos de fraude e corrup- 
ção exige que as organizações considerem 
os fatores de risco, internos e externos, in- 
cluindo a cultura organizacional e, quando 
relevante para as suas operações, o poten- 
cial de fraude e corrupção internacional. As 
organizações também devem considerar 
riscos de fraude e corrupção que podem 
surgir no futuro. Por exemplo, riscos de 
fraudes decorrentes de uma mudança em 
um sistema de Tl ou outras mudanças signi- 
ficativas nos processos organizacionais. 


É também importante que os riscos de frau- 
de e corrupção sejam levados em conside- 
ração na concepção de um novo sistema ou 
programa. Identificar os riscos de fraude e 
corrupção a nível de sistema e de programa 
ajuda as organizações a avaliar o risco global 
da organização e a refletir esses riscos em 
seus objetivos de planejamento estratégico. 


Como fraude e corrupção implicam de- 
sonestidade, a identificação desses riscos 
exige uma atitude cética para fazer questio- 
namentos: como um fraudador ou corrupto 
pode explorar as fraquezas do nosso siste- 
ma de controle? Como poderia substituir ou 
contornar os controles? O que poderia fazer 
para esconder a fraude? 


Documentar e atribuir responsabilidade pelos 
riscos e controles é importante. Em especial, a 
área de negócios responsável pela gestão de 
riscos de fraude e corrupção deve ser iden- 
tificada, e o prazo para a implementação de 
qualquer medida corretiva deve ser documen- 
tado em planos de tratamento de riscos. 


A organização também deve monitorar e 
revisar seus controles de fraude e corrup- 
ção regularmente. Mudanças na eficácia ou 
pertinência desses controles podem ter im- 
pacto sobre a avaliação de risco de fraude 
e corrupção da organização, tanto para au- 
mentar quanto para diminuir esse risco. Es- 
pera-se que a auditoria interna da organiza- 
ção avalie periodicamente se a estrutura de 
controle de fraude e corrupção é adequada 
e funciona de forma econômica e eficaz. 
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Toda organização está 
sujeita aos riscos 
de fraude e corrupção. 


A gestão de riscos é 
essencial para o controle da 
fraude e corrupção. 


A gestão de risco de fraude 
e corrupção é a aplicação 
de princípios e técnicas da 

gestão de riscos na avaliação 

das ameaças de fraude 
e corrupção. 
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1.5. NBR ISO 37001: SISTEMAS 
DE GESTÃO ANTISSUBORNO 


Editada em 2017, a norma NBR ISO 37001 
traz boas práticas internacionais para a ela- 
boração e implantação de um sistema de 
gestão antissuborno!” em organizações. O 
objetivo dessa norma é ajudar a implemen- 
tação de medidas razoáveis e proporcionais, 
concebidas para prevenir, detectar e respon- 
der ao suborno. Essa norma se aplica tan- 
to a organizações que praticam o suborno, 
oferecendo vantagens indevidas, quanto a 
organizações que são alvos dessas práticas, 
como é o caso das organizações públicas. 


Assim, uma organização pública pode ado- 
tar as políticas, procedimentos e controles 
previstos nessa norma, adequando-os aos 
riscos que a organização enfrenta, tendo 
em vista que diversos fatores afetam o ris- 
co de suborno em uma organização, tais 
como o tamanho, a localização, o setor em 
que a organização atua e a complexidade 
de suas operações. 


A ISO 37001 aborda vários temas tratados 
nesse referencial, tais como o papel da li- 
derança, controles internos, conflitos de 
interesses, auditoria interna, capacitação, 
investigação, comunicação, presentes, mo- 
nitoramento, entre outros. 


17 Suborno: oferta, promessa, doação, aceitação ou solicitação 
de uma vantagem indevida de qualquer valor (que pode ser fi- 
nanceiro ou não), direta ou indiretamente, e independente de 
localização(ões), em violação às leis aplicáveis, como um incen- 
tivo ou recompensa para uma pessoa que está agindo ou dei- 
xando de agir em relação ao desempenho de suas obrigações. 


A norma não substitui um programa de inte- 
gridade, pois este tem escopo mais amplo 
que o prescrito por essa norma. Mas a ado- 
ção de um sistema de gestão antissuborno 
pode fazer parte de um programa de inte- 
gridade'*. A vantagem da adoção de um 
sistema de gestão antissuborno é a possi- 
bilidade de certificação, que é uma garantia 
de que uma entidade independente avaliou 
e aprovou o sistema quanto aos requisitos 
da norma. Além disso, como a norma tem 
origem na ISO, uma certificação possui re- 
conhecimento praticamente no mundo 
todo, pode ser interessante para empresas 
estatais que atuam no exterior ou com em- 
presas estrangeiras. 


1.6. AVALIAÇÃO DO CUSTO-BENEFÍCIO 
NO COMBATE A FRAUDE 
E CORRUPÇÃO 


As práticas indicadas neste referencial 
requerem da organização esforços tanto 
de recursos humanos quanto financeiros, 
o que significa que combater a fraude e 
a corrupção consome recursos que pode- 
riam estar sendo empregados em outras 
atividades da organização. 


Com isso em vista, a organização deve bus- 
car, permanentemente, que os benefícios 


de um plano de gestão de risco de fraude e 
corrupção e os controles implantados dele 
decorrentes suplantem os seus custos.!? A 
burocracia que cria controles desnecessá- 
rios ou com relação custo-benefício des- 
vantajosa deve ser evitada a todo modo. 
Sempre é possível ter controles para com- 
bater a fraude e a corrupção, mas tais con- 
troles devem permitir que as organizações 
entreguem seus resultados aos cidadãos 
honestos no menor tempo e custo possi- 
veis (UNITED STATES OF AMERICA, 2015). 


Nessa equação, os controles preventivos 
geralmente apresentam melhor relação cus- 
to-benefício e por isso devem ser a primeira 
opção a ser avaliada, pois evitam, por exem- 
plo, que a organização pague algo indevido 
e, posteriormente, tenha que implementar 
medidas corretivas e punitivas custosas. No 
entanto, como dito no parágrafo anterior, o 
combate à fraude e corrupção é instrumen- 
to para consecução dos objetivos da orga- 
nização e não para dificultar o seu alcance. 


Por outro lado, existem certos riscos de 
fraude e corrupção que, por sua natureza, 
podem levar a organização a decidir não 
implantar controles preventivos específicos, 
em razão da relação custo-benefício des- 
vantajosa. Nesses casos, deve-se considerar 


18 No âmbito do executivo federal, a Portaria nº CGU 1089/2018 estabelece orientações para estruturação de programas de 
integridade. O programa inclui processos para promoção da ética e regras de conduta para servidores; promoção da transpa- 
rência ativa e do acesso à informação; tratamento de conflito de interesses e nepotismo; tratamento de denúncias; verificação 
do funcionamento de controles internos e do cumprimento de recomendações de auditoria; e implementação de procedimen- 


tos de responsabilização. 


19 O art. 14 do Decreto-Lei nº 200/1967 dispõe: “O trabalho administrativo será racionalizado mediante simplificação de proces- 
sos e supressão de controles que se evidenciarem como puramente formais ou cujo custo seja evidentemente superior ao risco”. 
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a implementação de controles detectivos. 
Isso não significa que a organização tenha 
tolerância à fraude e corrupção, apenas que 
em determinados casos muito excepcio- 
nais não vai tentar impedi-las, contudo, se a 
fraude ou corrupção for posteriormente de- 
tectada, tolerância zero deverá ser aplicada. 


Essa medida só ocorrerá quando o controle 
preventivo se mostrar claramente desfavo- 
rável, provocando embaraço à execução da 
política pública ou onerando sobremaneira 
a sua execução. No entanto, a regra geral 
de que a prevenção é o controle de melhor 
custo-benefício continua válida. O ideal é 
que haja tanto controles preventivos quan- 
to detectivos em vigor, se o custo-benefício 
permitir ambos. 


Organizações pequenas podem não ter re- 
cursos para implementar alguns controles. 
Para essas organizações, uma estratégia 
para se obter uma melhor relação custo-be- 
nefício na aplicação de controles para com- 
bater a fraude e a corrupção seria investir 
em um controle preventivo e detectivo para 
suas áreas de alto risco inerente, onde os es- 
forços tenham os maiores impactos. A orga- 
nização deve focar seus recursos nas medi- 
das antifraude e anticorrupção mais efetivas. 


A avaliação e escolha do controle deve ser 
feita caso a caso, dependendo dos recur- 
sos disponíveis, custo potencial e nível de 
risco — em algumas instâncias pode ser mais 
prático ter apenas um controle detectivo e 
nenhum controle preventivo para um risco 
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de fraude ou corrupção, ou vice-versa. 


A organização deve também considerar 
nas suas avaliações do custo-benefício da 
implementação de controles antifraude e 
anticorrupção que controles automáticos 
tendem a ser mais confiáveis e eficientes 
que controles manuais, pois não são sus- 
cetíveis a erros humanos e possíveis re- 
trabalhos. Além disso, controles que são 
direcionados para riscos específicos po- 
dem ser mais custosos do que controles 
gerais, como a exigência de que novos 
servidores assinem o compromisso com 
a política antifraude e anticorrupção da 
organização. Porém, por outro lado, con- 
troles focados em riscos específicos po- 
dem diminuir o custo da identificação das 
etapas em que a fraude e corrupção ocor- 
rem, porque são capazes de identificar 
mais rápido o momento em que a fraude 
e corrupção ocorreu. Cabe, portanto, à 
organização somente aplicar os controles 
após avaliação de diversas opções e da 
relação custo-benefício. 


Para avaliação da relação custo-benefício, 
é interessante também que a organização 
envide esforços para estimar as perdas por 
fraude e corrupção que ocorrem em seus 
programas, contratos, repasses etc., tanto 
em termos financeiros como não financeiros. 


Identificar perdas financeiras e não finan- 
ceiras que podem resultar da possível ocor- 
rência de fraude e corrupção é a primeira 
medida para a definição da implantação de 


medidas antifraude e anticorrupção. Estima- 
tivas de potenciais economias decorrentes 
da implementação de controles ajudam na 
definição da prioridade que a organização 
dará ao combate a fraude e corrupção fren- 
te aos demais dispêndios organizacionais. 


Ainda que não seja possível calcular preci- 
samente essas perdas, alguma estimativa é 
melhor que nenhuma e é essencial para ava- 
liar o custo-benefício dos controles. Afinal, 
como julgar se um controle é oneroso sem 
fazer uma estimativa das perdas na ausência 
desse controle? 


Tais estimativas, então, estabelecem uma 
base para que os desempenhos dos contro- 
les possam ser avaliados. Se realizadas com 
frequência, as estimativas de perdas ajudam 
a organização a avaliar a eficiência e eficácia 
dos controles e se o risco de fraude e cor- 
rupção se reduziu. 


Essas estimativas podem ser realizadas por 
modelos estatísticos e técnicas de amos- 
tragem. A precisão obtida dependerá de 
quanto se quer investir nessas estimativas, 
porque uma avaliação superficial é fácil de 
se executar, mas à medida que se deman- 
da mais precisão, mais oneroso se torna 
esse processo. 


As medidas antifraude e anticorrupção não 
devem ser aplicadas uniforme e indistinta- 
mente em todas as organizações. Cada or- 
ganização deve avaliar quais medidas são 
apropriadas para os riscos e benefícios es- 


perados, considerando o seu tamanho, sua 
natureza e sua complexidade específica. 


Grandes organizações possuem estruturas 
e pessoal que facilitam a implementação de 
controles antifraude e anticorrupção. Além 
disso, o tipo e a materialidade das fraudes 
e corrupções que atingem grandes organi- 
zações podem ser diferentes daquelas so- 
fridas por pequenas organizações, fazendo 
com que nestas a relação custo-benefício 
seja desvantajosa para a implementação de 
alguns controles. 


Pequenas organizações podem implemen- 
tar medidas preventivas básicas, como, por 
exemplo, evitar a concentração de autori- 
zações relevantes em um único servidor, 
embora, para essa mesma organização, 
possa também ser difícil possuir servido- 
res suficientes para o estabelecimento da 
segregação de funções ideal. Dessa forma, 
medidas compensatórias devem ser em- 
pregadas, tais como a submissão de auto- 
rizações relevantes à alta administração da 
organização ou a um conselho de adminis- 
tração ou equivalente. 


Para reduzir os custos de identificação 
de controles, uma ação importante a ser 
adotada por pequenas organizações é 
a identificação de as boas práticas que 
sejam mais efetivas para o combate a 
fraude e corrupção, implementadas por 
outras organizações, inclusive grandes, 
e avaliar como podem ser adaptadas às 
suas necessidades. 


Referencial de Combate a Fraude e Corrupção | 29 


Toda organização é 
suscetível à ocorrência 
de fraude e corrupção e 
deve avaliar a abrangência 
e a profundidade da 
implementação de controles 
considerando os seus riscos, 
o seu tamanho, 
a sua natureza e a 


sua complexidade. 


' 


” Para se obter uma melhor 
relação custo-benefício na 
aplicação de controles, a 
organização deve focar nas 
áreas de maior risco, onde 
\ os esforços tenham os 
maiores impactos. 
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O benefício decorrente 
da implementação de 
controles antifraude e 
anticorrupção deve ser 
maior que o seu custo. 


É sempre possível ter 
controles para combater 
a fraude e a corrupção, 
mas esses controles 
devem permitir que as 
organizações entreguem 
seus resultados aos 
cidadãos honestos no 

menor tempo e 


custo possíveis. 


N 
` 


1.7. DOS MECANISMOS DE COMBATE A 
FRAUDE E CORRUPÇÃO 


Nos capítulos seguintes, estão estruturados 
os cinco mecanismos de combate a fraude 
e corrupção: prevenção, detecção, investi- 
gação, correção e monitoramento. A cada 
mecanismo foi associado um conjunto de 
componentes que contribuem direta ou in- 
diretamente para o alcance do seu objetivo. 


Por sua vez, a cada componente foi associa- 
do um conjunto de práticas. As práticas são 
o detalhamento das atividades no seu nível 
mais operacional. 


No entanto, essa estrutura não é estanque. 
Várias práticas apresentam vínculos e refle- 
xos em outros componentes e mecanismos. 
A divisão proposta é meramente conceitual, 
para facilitar a compreensão. 


Figura 7. Estrutura de mecanismos e componentes 
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PREVENÇÃO 


primeiro mecanismo desse referen- 

cial trata da prevenção. A atitude 

mais eficiente e proativa para pre- 
servar os recursos públicos é prevenir que 
sejam desviados dos seus propósitos. Ainda 
que os componentes da prevenção (gestão 
da ética, controles preventivos, transparên- 
cia e accountability”) não impeçam total- 
mente a ocorrência de fraude e corrupção, 
eles fazem parte das primeiras atividades 
de defesa para diminuir o risco de fraude 
e corrupção numa organização. Em geral, 
devido ao melhor custo-benefício, medidas 
preventivas devem ser adotadas para evitar 
o risco de fraude e corrupção, reduzindo as 
chances do seu acometimento. 


Uma vez que o recurso toma um destino 
fraudulento, tentar mitigar o dano provo- 
cado por um desvio é uma atividade pou- 
co eficiente?. O histórico de recuperação 


administrativa desses ativos é desfavorável 
para qualquer esfera de governo e de po- 
der. Os meios de recuperação são lentos e 
custosos, obrigando a organização a alocar 
recursos humanos e, portanto, mais recur- 
sos financeiros, para recuperar o recurso 
desviado, sem garantia de êxito. 


Entretanto, a maior perda não está no re- 
curso desviado nem no seu custo de recu- 
peração, porque mesmo que ao fim de um 
procedimento administrativo ou judicial seja 
possível recuperar um recurso desviado, o 
dano provocado pela perda de oportunida- 
des é irrecuperável. Na medida em que um 
recurso é alocado para atender a uma polí- 
tica pública, um serviço público, uma obra 
ou algum outro benefício à sociedade e por 
conta do desvio esse objetivo inicial deixa 
de ser atingido, a posterior recuperação 
desse recurso não vai restabelecer o benefi- 


20 Accountability se refere à obrigação que têm as pessoas ou entidades às quais se tenham confiado recursos, incluídas as em- 
presas e organizações públicas, de assumir as responsabilidades de ordem fiscal, gerencial e programática que lhes foram con- 
feridas e de informar a quem lhes delegou essas responsabilidades (BRASIL, 2011). Espera-se que os agentes de governança 
prestem contas de sua atuação de modo claro, conciso, compreensível e tempestivo, assumindo integralmente as consequências 
de seus atos e omissões e atuando com diligência e responsabilidade no âmbito de seus papéis (INSTITUTO BRASILEIRO DE 
GOVERNANÇA CORPORATIVA, 2015). Trata-se de um conjunto de procedimentos adotados pelas organizações públicas e pelos 
indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e ações implementadas, incluindo a salva- 
guarda de recursos públicos, a imparcialidade e o desempenho das organizações (BRASIL, 2016). 


21 Esse modelo reativo é chamado pelo Government Accountability Office de pay-and-chase, ou seja, primeiro faz-se o gasto e, de- 
pois de verificada a fraude, persegue-se o ressarcimento do dano. O objetivo da prevenção é reduzir o chase até o limite em que o 


esforço e o custo da prevenção se equipara ao potencial de perda. 
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cio social que deixou de ser proporcionado, 
gerando uma perda de oportunidade. 


O risco de fraude e corrupção deve ser con- 
siderado já nas etapas iniciais de elaboração 
de políticas, programas, atividades ou pro- 
cessos públicos, para que medidas preven- ocorrência de fraude 

tivas sejam concebidas desde a origem. e corrupção e, usualmente, 


A prevenção evita a 


E é mais barata que 
Portanto, a prevenção não só é mais eficien- . . 
E a medidas corretivas. 
te na preservação do recurso público, mas 
também confere efetividade ao benefício 
social que se pretenda alcançar com esses 
recursos. Com isso em mente, o mecanismo 
da prevenção é composto por três compo- A mais eficiente e proativa 
nentes: gestão da ética, controles preventi- atitude para preservar 
vos e transparência e accountability. ese ; 
os recursos públicos é 


Por meio de um ambiente ético, a disposi- prevenir que sejam desviados 


ção para desvios de condutas e formação dos seus propósitos. 
de conluios é reduzida e a propensão para 


denúncias aumenta. Por meio de controles, 
reduz-se o risco de que vulnerabilidades 
sejam exploradas por fraudadores e corrup- 


i T O risco de fraude e corrupção 
tos. Por meio da transparencia e accounta- 


bility, aumenta-se a capacidade de observa- deve ser considerado já nas 

ção dos atos e fatos na gestão pública pelas etapas iniciais de elaboração de 
i 22 E Fi do ok 

partes interessadas (stakeholders?) da orga políticas, programas, atividades 


nização e aferição dos resultados obtidos. aa 
ou processos públicos, para 


22 Stakeholders são pessoas, grupos ou instituições com in- 


teresse em bens, serviços ou benefícios públicos, podendo ser que medidas preventivas sejam 
afetados positiva ou negativamente, ou mesmo envolvidos no concebidas desde a origem. 


processo de prestação de serviços públicos. Em resumo, são 
aqueles cuja atuação e opinião devem ser levadas em conta na 
formulação de estratégias, na accountability e na transparên- 
cia. No setor público, abrangem: agentes políticos, servidores 
públicos, usuários de serviços, fornecedores, mídia e cidadãos 
em geral, cada qual com interesse legítimo na organização pú- 
blica, mas não necessariamente com direitos de propriedade 
(INTERNATIONAL FEDERATION OF ACCOUNTANTS, 2001). 
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Mecanismo - Prevenção 


Componente P1 —- Gestão da ética e integridade 
Prática P1.1 — Promover a cultura da ética e da integridade na organização 


Prática P1.2 — Estabelecer comportamento ético e íntegro da alta administração 


Prática P1.3 — Estabelecer, divulgar e esclarecer o código de ética e de conduta 


Prática P1.4 — Promover comissão de ética 


Prática P1.5 - Instituir política de prevenção de conflitos de interesse 


Prática P1.6 — Estabelecer condições para lidar com variação significativa de patrimônio 


Prática P1.7 — Regular o recebimento de presentes e participação em eventos 


Componente P2 — Controles preventivos 


Prática P2.1 — Estabelecer sistema de governança com poderes de decisão 
balanceados e funções críticas segregadas 


Prática P2.2 — Estabelecer política e plano de combate a fraude e 
corrupção da organização 


Prática P2.3 — Estabelecer política e práticas de gestão de recursos humanos 
para prevenir fraude e corrupção 


Prática P2.4 — Estabelecer política e práticas de gestão de relacionamento com 
entidades e pessoas que recebam recursos financeiros ou que 
dependam do poder de compra e de regulação da organização 


Prática P2.5 — Gerenciar riscos e instituir mecanismos de controle interno para 
o combate a fraude e corrupção 


Prática P2.6 — Implantar função antifraude e anticorrupção na organização 


Prática P2.7 — Promover programa de capacitação sobre combate 
a fraude e corrupção 


Prática P2.8 - Comunicar a política e gestão de risco de fraude e corrupção 
e os resultados das correções nos casos detectados 


Componente P3 — Transparência e accountability 


Prática P3.1 — Promover a cultura da transparência e divulgação proativa das 
informações, utilizando-se especialmente dos meios de tecnologia 
da informação 


Prática P3.2 — Promover a cultura da prestação de contas e responsabilização 
pela governança e gestão 
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P1 - GESTÃO DA ÉTICA E INTEGRIDADE 


Se a prevenção é o mecanismo mais eficaz 
no combate a fraude e corrupção, a gestão 
da ética e integridade é o seu componente 
imprescindível. A gestão da ética e inte- 
gridade é a fundação para a gestão das de- 
mais atividades da organização. Se omissa 
ou falha, manchará a gestão, e qualquer 
atividade pode levantar dúvidas quanto à 
legitimidade, probidade e motivação dos 
seus atos. Sem essa confiança de que a 
gestão está sendo feita pelos motivos cer- 
tos, servidores e partes interessadas po- 
dem se questionar se vale a pena manter 
os seus valores e passar a assumir compor- 
tamento reprovável, levando a organização 
a uma espiral decadente. 


A gestão da ética se faz tanto com con- 
troles sutis (soft controls) quanto com con- 
troles duros (hard controls) (THE INSTITU- 
TE OF INTERNAL AUDITORS, 2015). Os 
controles sutis podem ser considerados 
medidas que influenciam a motivação — le- 
aldade, integridade, tom da alta adminis- 
tração, inspiração e valores dos servido- 
res. O comportamento resultante dessas 
medidas é a cultura organizacional. Já os 
controles duros podem ser definidos como 
medidas que induzem uma mudança direta 
e visível no comportamento dos servidores 
por meio de normas, estruturas, controles, 
tarefas, responsabilidades e autorizações. 


Enquanto os controles duros são tangíveis, 
objetivos e fáceis de testar, os controles sutis 
são intangíveis, subjetivos e difíceis de testar. 
Devido a essa característica, as auditorias in- 
ternas têm dificuldade de avaliar os controles 
sutis, preferindo atuar nos controles duros, o 
que abre espaço para condutas antiéticas, 
ainda que em conformidade com as normas. 


As práticas do componente “gestão da ética 
e integridade” baseiam-se principalmente 
no exemplo da alta administração, no esta- 
belecimento de códigos, estrutura, comuni- 
cação, treinamento, sanções e monitoramen- 
to. Prestigiar a integridade dos servidores e 
promover o comportamento ético da alta 
administração são medidas abstratas, ao 
passo que estabelecer um código e comis- 
são de ética são medidas concretas. As práti- 
cas desse componente previnem as fraudes, 
levando os envolvidos com a organização a 
nem considerarem a hipótese de as cometer. 


As pessoas possuem 
ambições que, por vezes, são 
contidas por limites éticos 
e de integridade. Compete 
às organizações promover 
e reforçar esses limites para 
que ambições sustentadas 
por fraude e corrupção não 
se materializem. 


23 Os inúmeros escândalos relacionados a fraude, corrupção, falta de profissionalismo, baixo desempenho e pouca entrega das 
organizações públicas justificam a necessidade de se abordar o tema “ética e integridade” de forma mais direta (EUROPEAN 


ORGANISATION OF SUPREME AUDIT INSTITUTIONS, 2014). 
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Se a prevenção é o 
mecanismo mais eficaz 
no combate à fraude e 
corrupção, a gestão da 

ética e integridade é o seu 
componente imprescindível. 


Prática P1.1 — Promover a cultura da ética 
e da integridade na organização 


A organização deve permanentemente 
promover a cultura da ética e da integri- 
dade a partir, especialmente, do exemplo 
de conduta íntegra da alta administração 
e por meio do estabelecimento de código 
de ética e conduta, da sua divulgação e co- 
municação, da sua internalização median- 
te programas e eventos de treinamento e 
conscientização com a participação de to- 
dos os integrantes da organização, benefi- 
ciários de programas, usuários de serviços 
públicos e fornecedores. 


O sucesso de uma organização depende 
de sua cultura ética e da integridade de 
seus servidores. A alta administração deve 
entender e assumir que esse é o principal 
vetor de promoção da cultura ética e da in- 
tegridade da organização, por meio de suas 
ações e decisões. 


E.E | E 38 | Referencial de Combate a Fraude e Corrupção 


A ética organizacional decorre dos valores e 
princípios da organização. Os valores orga- 
nizacionais são, usualmente, expressos por 
intermédio de suas principais crenças, como 
a defesa do interesse público, a imparciali- 
dade, a transparência e o accountability, de- 
vendo ser normatizados por intermédio de 
códigos de ética. Os princípios decorrem, 
por sua vez, da transformação dos valores 
éticos em normas ou códigos de conduta, 
com o propósito de, por exemplo, evitar 
conflitos de interesse, recebimento de pre- 
sentes, clientelismo, nepotismo e outras 
formas de favoritismo. 


A integridade refere-se aos valores e prin- 
cípios pessoais que regem o comporta- 
mento de cada servidor. A integridade 
decorre da virtude e da incorruptibilidade, 
portanto, da ausência de fraude e corrup- 
ção. Um servidor íntegro não se corrompe 
por situações momentâneas, infringindo as 
normas e as leis, os valores e os princípios 
éticos. Por outro lado, um servidor não ín- 
tegro poderá seguir as normas, leis e valo- 
res éticos somente para evitar problemas, 
e não em razão do seu caráter. Em virtude 
disso, é relevante que as organizações vi- 
sem não somente a promoção da cultura 
ética, mas também da integridade de seus 
servidores, que redundará na integridade 
organizacional como um todo. 


Há uma relação dinâmica entre ética e inte- 
gridade, em que uma fortalece a outra. A in- 
tegridade pessoal é o alicerce para a ética, 
enquanto atividades organizacionais éticas 


encorajam a integridade pessoal. Pessoas 
que se esforçam para ter um alto padrão de 
integridade gostarão de transferir seus prin- 
cípios para a vida profissional. As palavras 
e atitudes de servidores que possuem alto 
nível de integridade estarão alinhadas com 
os valores e princípios de uma organização 
ética e íntegra. 


Os padrões éticos e de integridade, uma 
vez implantados, devem servir de critério 
para seleção, avaliação e promoção de 
pessoal. Com isso, a organização estabele- 
ce a mensagem de que o comportamento 
íntegro é valorizado e reconhecido, esti- 
mulando que mais servidores participem 
desse movimento. 


Integridade significa mais do que simples- 
mente observar as normas, os códigos e 
as leis decorrentes dos valores e princí- 
pios. As normas e leis proporcionam um 
limite mínimo, um ponto de partida para 
a moralidade. É preciso mais do que isso. 
Uma política de integridade requer uma 
combinação de repressão e prevenção. Se 
por um lado a organização adota medidas 
quando um servidor age inapropriadamen- 
te (repressão), por outro deve fazer tudo 
para que não haja desvios que possam in- 
duzir seus servidores a agirem dessa for- 
ma (prevenção). A prioridade deve ser na 
prevenção, não só pela efetividade, mas 
porque no cômputo geral o custo do in- 
vestimento é usualmente menor do que o 
custo da reparação de danos causados por 
comportamento inapropriado. 


É desafiador para as organizações estabe- 
lecer e obedecer aos seus próprios padrões 
éticos e de integridade. Situações antiéti- 
cas surgem a todo instante e em todos os 
níveis hierárquicos, sondando por espaço 
em meio a conduta integra. Muita discipli- 
na é requerida para portar-se permanente- 
mente em conformidade com os padrões 
éticos e de integridade estabelecidos. O 
comportamento ético e íntegro é a garan- 
tia de que a organização não se desviará 
de seus propósitos públicos. Decorre dis- 
so a importância da promoção contínua da 
cultura ética e da integridade. 


Toda essa promoção da cultura ética e de 
integridade deve ser permanentemente 
monitorada, com o intuito de avaliar a sua 
efetividade e adotar medidas corretivas 
quando necessário. 


Uma organização íntegra 
se faz pelo comportamento 
Íntegro diário de todos 
os seus servidores, alta 
administração e membros 


de conselhos. 
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Todos numa organização são 
responsáveis por manter um 
ambiente ético, íntegro e 
de não tolerância à fraude 
e à corrupção. 


O comportamento ético e 
íntegro é a garantia de que a 
organização não se desviará 
de seus propósitos públicos. 


Prática P1.2 — Estabelecer comportamento 
ético e íntegro da alta administração 


A atitude estabelecida pela alta adminis- 
tração se reflete em todos os aspectos das 
ações da organização. Se a alta administra- 
ção acredita que os controles internos são 
importantes, os demais membros e servi- 
dores dentro da organização perceberão e 
responderão conscientemente, observando 
os controles estabelecidos. 


Assim, o compromisso, o envolvimento e o 
suporte da alta administração em estabelecer 
um comportamento ético fomentam uma ati- 
tude positiva e de apoio à aplicação de con- 
troles para prevenir e mitigar ameaças de frau- 
de e corrupção nas organizações. 


Para ajudar a assegurar que a postura da li- 
derança (tone at the top?) incentive a cultura 
ética, todos os membros da alta administra- 
ção devem focar nos seguintes itens: i) ser um 
modelo a ser seguido, enquanto líder, pessoa 
e cidadão; ii) deixar claro aos servidores da 
organização que qualquer tipo de comporta- 
mento não ético, especialmente relacionado 
à fraude e corrupção, não será tolerado; iii) 
estar preparado para adotar ações corretivas 
firmes, incluindo aplicação de medidas disci- 
plinares; e iv) demonstrar que adota medidas 
efetivas sempre que casos de má conduta são 
descobertos ou relatados. 


Portanto, não basta que a alta administra- 
ção dê o exemplo; deve estar aparente que 
ela tem um alto nível de compromisso com o 
controle da fraude e corrupção, tanto os que 
podem ser praticados pela organização quan- 
to os que podem ser perpetradas contra ela. 
A consciência do risco de fraude e corrupção 
deve estar presente em todos os níveis mais 
altos da gestão, da alta administração e de 


24 Pela Association of Certified Fraud Examiners, tone at the top se refere ao ambiente ético criado no local de trabalho pela lide- 
rança da organização. Seja qual for a postura da alta administração, esta terá um efeito sobre os trabalhadores da empresa. Se o 
tom definido pelos gerentes defende a ética e integridade, os funcionários estarão mais inclinados a defender estes valores. No en- 
tanto, se a alta administração parece despreocupada com a ética e se concentra exclusivamente nos resultados, os empregados 
serão mais propensos a cometer uma fraude, por sentirem que a conduta ética não é foco ou prioridade da organização. Funcioná- 
rios prestam muita atenção ao comportamento e às ações de seus chefes, e seguem sua liderança. Em suma, os funcionários fa- 


rão o que testemunharem das ações de seus chefes. 
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membros de conselhos. Se essa consciência 
não for evidente, essas instâncias administra- 
tivas devem receber treinamento que reforce 
os cuidados e atitudes apropriadas perante os 
riscos e controles de fraude e corrupção. 


Uma boa prática é utilizar termos de compro- 
misso para que a alta administração, mem- 
bros de conselhos e servidores possam confir- 
mar por escrito, anualmente, que cumpriram, 
nos doze meses anteriores, com os padrões 
éticos e de integridade da organização e 
com sua política antifraude e anticorrupção, e 
que vão continuar cumprindo nos próximos 
doze meses. O propósito dessa medida é 
criar um efeito moral no subscritor do termo 
para induzi-lo a seguir os normativos. 


A alta administração e os servidores ocupan- 
tes de cargos a partir de uma determinada 
hierarquia, quando mantiverem contato por 
meio de audiência com particulares, pesso- 
as físicas ou jurídicas, devem realizar regis- 
tro contendo o tema tratado, o dia, a hora 
e os participantes. Para essas audiências, é 
necessário que estejam acompanhados por 
pelo menos um outro servidor. O registro 
deve ser efetuado ainda que a audiência 
seja realizada fora do local de trabalho. 


A agenda de audiências concedidas e 
acompanhada dessas informações deve ser 
divulgada, permanentemente, no sítio da 
organização da internet, exceto se a ma- 


téria estiver sob sigilo legal. Essa medida 
serve para dar transparência no trato das 
questões públicas e demonstrar o compor- 
tamento ético dos agentes públicos?. 


Os gestores e servidores 
possuem a responsabilidade 
por promover e manter 
a cultura de ética e 
integridade na organização. 
A alta administração 
deve sempre incentivar e 
monitorar essa promoção 
e, em todos os momentos, 
demonstrar de forma 
inequívoca e contundente 
o compromisso com a ética 
e a integridade e a não 
tolerância à fraude 


e corrupção. 


25 O art. 11 da Lei n° 12.813/2013 determina que ministros de Estado, secretários executivos, presidente e diretores de autar- 
quias, fundações públicas, empresas públicas e sociedades de economia mista publiquem diariamente suas agendas de compro- 


missos públicos na internet, 
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Lidere com ética e combata 
os desvios: é essencial que 
as organizações públicas 
estabeleçam mecanismos 
para encorajar e reforçar o 
comportamento ético de 
suas lideranças e servidores. 
Mais do que isso, demonstre 
estar sempre agindo de 
acordo com o interesse 
da sociedade, de modo 
que a população confie 
que os recursos públicos 
estão sendo geridos no seu 


exclusivo interesse. 


Prática P1.3 — Estabelecer, divulgar e 
esclarecer o código de ética e de conduta 


Consiste no estabelecimento de código de 
ética que disponha sobre os valores e prin- 
cípios que devem nortear as escolhas dos 
servidores e de código de conduta, deta- 
lhando o comportamento esperado, as 
condutas vedadas e as punições possíveis. 
Esses códigos devem ser elaborados pela 
organização, levando em conta sua comple- 
xidade e seus riscos associados. 
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Tanto a alta administração quanto os ser- 
vidores devem estar submetidos a algum 
tipo de mandamento ético e íntegro, ainda 
que por meio de códigos específicos. Nos 
casos em que já houver um código de ética 
normatizado por instância hierárquica supe- 
rior, a organização pode complementar ela- 
borando código de conduta detalhando o 
comportamento da sua realidade. 


Entretanto, não basta a existência desses có- 
digos, eles devem ser conhecidos por todos 
os servidores da organização, permanentes 
ou temporários, efetivos ou contratados. Os 
servidores devem ser esclarecidos de seus 
teores e sobre como, na prática, eles se 
aplicam em suas atividades diárias. Cópias 
eletrônicas e impressas devem estar dispo- 
níveis a todos. Um canal deve estar dispo- 
nível aos servidores para esclarecer dúvidas 
quanto à interpretação dos códigos, que 
serão respondidas pela comissão de ética. 


Treinamentos regulares sobre o conteú- 
do dos códigos devem ser realizados para 
servidores, alta administração, membros 
de conselhos, beneficiários de programas, 
usuários de serviços públicos, fornecedores 
e demais partes interessadas, enfocando 
especialmente os servidores que ingressam 
na organização e aqueles que são indicados 
para a gestão, alta administração e conse- 
lhos da organização. 


Testemunham-se, atualmente, graves pro- 
blemas na área pessoal, profissional e polí- 
tica, em que qualquer servidor, de qualquer 


nível, age sem limites éticos e de integri- 
dade. Quando a reputação das organiza- 
ções é maculada, isso acarreta grandes 
perdas para a organização, para os bons 
servidores e para os cidadãos honestos. 
Organizações de todos os tipos estão ago- 
ra realizando ações proativas para prevenir 
desvios éticos e de integridade, reforçan- 
do controles, comunicando e oferecendo 
treinamento sobre ética e integridade. O 
objetivo é mitigar os riscos reputacionais 
para a organização. 


Os servidores, membros da alta adminis- 
tração e de conselhos, após serem apre- 
sentados ao código de ética e de conduta 
e conscientizados de sua importância, de- 
vem firmar um termo de que entendem e 
prometem comportar-se de acordo com os 
padrões éticos e de integridade esperados. 
O plano de capacitação deve prever reci- 
clagem periódica nos assuntos éticos e de 
integridade, culminando na ratificação do 
compromisso inicial. 


No caso de admissão ao cargo ou emprego, 
essa capacitação deve ser incluída no curso 
de formação para garantir que, antes de ini- 
ciar a sua atividade laboral, o servidor tenha 
sido conscientizado da existência e da im- 
portância desses códigos. 


Além dos servidores, a alta administração e 
membros de conselhos devem ser chamados 
a conhecer os códigos de ética e de conduta 
da organização, momento em que devem ra- 
tificar o compromisso em obedecê-los. 


Prática P1.4 — Promover comissão de ética 


Para que o código de ética e o código de 
conduta sejam divulgados, interpretados e 
aplicados, cada organização deve constituir 
formalmente uma comissão de ética. À co- 
missão de ética cabe atuar como instância 
consultiva dos servidores. Além disso, a co- 
missão de ética é responsável por analisar e 
decidir sobre condutas que possam ter in- 
fringido o código de ética e conduta, além 
de definir as sanções cabíveis e supervisio- 
nar as ações de promoção da ética e inte- 
gridade da organização. Para a sua maior 
independência, a comissão deve estar vin- 
culada ao órgão de direção ou à autoridade 
máxima da organização. Critérios devem 
ser estabelecidos para a indicação dos inte- 
grantes, que devem possuir conhecimento 
e reputação compatíveis com o cargo. 


Recomenda-se o estabelecimento de man- 
datos para os membros da comissão de éti- 
ca. Isso tende a conferir-lhes maior indepen- 
dência no desempenho de suas funções, na 
medida em que fica afastada a possibilida- 
de de remoção extemporânea por parte da 
direção da organização. 


A existência da comissão de ética, sua fun- 
ção e suas decisões sobre ato ou fato sub- 
metido à sua apreciação devem ser plena- 
mente divulgadas na organização, exceto 
quando houver previsão legal de sigilo. 


Uma vez constituída a comissão de ética, a 
organização deve garantir os recursos huma- 
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nos, materiais e financeiros para que a comis- 
são cumpra com efetividade as suas atribui- 
ções. A atividade de membro na comissão 
deve ter preferência sobre outras que o ser- 
vidor designado porventura acumule, para 
assegurar o seu pleno funcionamento. 


Crie uma comissão de 
ética e garanta o seu 


pleno funcionamento. 


Prática P1.5 -Instituir política de prevenção 
de conflitos de interesse 


Conflito de interesse é um conjunto de 
circunstâncias que cria riscos de que o jul- 
gamento ou ações relativas ao interesse 
primário do servidor venham a ser inde- 
vidamente influenciadas por um interesse 
secundário. Interesse primário refere-se 
aos principais objetivos de sua atividade 
enquanto agente público, notadamente o 
interesse público, e o interesse secundá- 
rio significa, em geral, ganhos financeiros, 
mas também podem assumir a natureza de 
interesses pessoais, científicos, educacio- 
nais, assistenciais, religiosos, sociais etc?*. 
Os interesses secundários não são consi- 
derados irregularidades em si, mas pas- 
sam a ser questionáveis quando podem 


ter influência sobre o interesse primário. 
Ou seja, o conflito pode existir mesmo 
que o servidor não esteja sendo influen- 
ciado pelo interesse secundário. O confli- 
to existe se as circunstâncias levam a crer 
(baseado em experiências passadas e evi- 
dências objetivas) que há o risco de as de- 
cisões serem indevidamente influenciadas 
por interesses secundários. 


Assim, a existência de um conflito de in- 
teresse é independente da ocorrência de 
alguma fraude ou corrupção. Portanto, é 
importante identificar conflitos de interesse 
e voluntariamente tomar medidas para que 
sejam desfeitos antes da ocorrência de frau- 
de ou corrupção. 


As situações reais que caracterizam o 
conflito de interesse dependem de cada 
caso, tanto do interesse primário do ser- 
vidor na organização quanto dos possíveis 
interesses secundários. Cabe à organiza- 
ção mapear a sua estrutura e identificar os 
cargos, setores e atividades que possam 
estar mais suscetíveis a desenvolver con- 
flitos de interesse. 


Uma vez identificados esses pontos, as cir- 
cunstâncias que caracterizem o conflito de 
interesse podem estar dispostas nos códigos 
de ética e de conduta, bem como as ações 
que o servidor deve tomar para evitá-las. 


26 A Lei nº 12.813/2013 define conflito de interesse como “a situação gerada pelo confronto entre interesses públicos e priva- 
dos que possa comprometer o interesse coletivo ou influenciar, de maneira imprópria, o desempenho da função pública”. Para o 
Institute of Internal Auditors, conflito de interesse é “qualquer relacionamento que não seja ou não pareça ser o de melhor interes- 
se para a organização. O conflito de interesse prejudicaria a habilidade do indivíduo para desempenhar objetivamente seus deve- 


res e responsabilidades”. 
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Prática P1.6 - Estabelecer condições 
para lidar com variação significativa 
de patrimônio 


Dependendo da atividade regulatória e fis- 
calizatória da organização e dependendo 
da posição do cargo e hierarquia do servi- 
dor, em especial da alta administração, o 
patrimônio pessoal deste profissional pode, 
real ou potencialmente, ser afetado pelas 
atividades da organização. 


Nesse caso, esse servidor afetado deve in- 
formar à comissão de ética sobre esse pa- 
trimônio que possa suscitar conflito com as 
atividades da organização e indicar o modo 
pelo qual irá evitar o conflito. Isso previne 
que ganhos patrimoniais, ainda que invo- 
luntários, afetem a credibilidade do servidor 
no desempenho de suas funções. 


Outra medida que pode ser adotada, 
dependendo também da organização e 
da hierarquia do servidor, é a notificação 
compulsória de alteração significativa no 
patrimônio de um servidor. Essa medida 
previne que uma modificação substancial 
do padrão de vida possa suscitar descon- 
fiança sobre a probidade do servidor. Na 
ocorrência de um fato gerador de variação 
significativa de patrimônio, independente 
da origem do fato, o servidor deve comu- 
nicar à comissão de ética essa variação, 


acompanhada de justificativas. A comissão 
ou os códigos de ética e conduta devem 
estabelecer critérios para caracterizar essa 
variação significativa. Toda informação pa- 
trimonial deverá ser tratada com sigilo pela 
organização. Essas medidas complemen- 
tam as exigências de declaração de bens e 
renda já previstas em lei”. 


Prática P1.7 — Regular o recebimento de 
presentes e participação em eventos 


Deve ser vedado que servidores recebam 
presentes oferecidos por pessoa, empresa 
ou entidade que tenha interesse em deci- 
são que possa ser tomada pela organiza- 
ção. Como presente, entende-se qualquer 
benefício direto ou indireto, tais como 
ingresso para eventos, hospedagem, em- 
préstimo de veículo ou moradia, conces- 
são de transporte de qualquer natureza, 
upgrades em passagens, pagamento de 
refeições e descontos em geral não exten- 
sivos a qualquer um 2. 


No entanto, brindes promocionais do ofer- 
tante, sem valor comercial distribuídos em 
caráter geral na organização, podem não 
se caracterizar como presente. O código 
de ética pode estabelecer um preço-limite 
para o valor desses brindes e a frequência 
de distribuição admitida para melhor deli- 
mitação da vedação. 


27 A Lei nº 8.429/1992 dispõe que todo servidor apresente declaração de bens em sua posse e atualize-a anualmente junto ao 
serviço de pessoal competente. Na esfera federal, a Lei nº 8.730/1993 dispõe que, além dos bens, o servidor declare suas fon- 


tes de renda. 


28 Ver Anexo 2: exemplo de matriz para avaliação do recebimento de presentes. 
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A participação em seminário, congresso e 
outros eventos pode ser uma fonte de con- 
fito de interesse, pois dependendo das 
condições pode estar mascarando um re- 
cebimento de presente. Para evitar essa si- 
tuação, deve-se observar condições que se 
aplicam tanto no caso de participação por 
interesse institucional quanto pessoal. 


Se a participação for de interesse institucio- 
nal, deve ser preferencialmente custeada 
pela própria organização. No entanto, se 
o promotor do evento não puder se bene- 
ficiar de decisão do servidor e não estiver 
sob jurisdição regulatória da organização, 
é aceitável a sua contribuição. Quando a 
participação for por interesse pessoal, esta 
pode ser custeada pelo promotor do even- 
to, desde que o servidor torne pública as 
condições aplicáveis à sua participação, a 
sua eventual remuneração, e que o promo- 
tor do evento não possa se beneficiar de 
decisão do servidor. 


P2 - CONTROLES PREVENTIVOS 


Uma vez estabelecido um ambiente positi- 
vo de cultura organizacional por meio das 
práticas do componente anterior, a pre- 
venção ainda requer o ceticismo de que 
nem todos, incluindo a alta administração, 
membros dos conselhos, servidores e par- 
tes interessadas, se comportarão conforme 
esperado apenas pela influência de seus 
valores morais e éticos. Havendo oportu- 
nidade, existirão pessoas dispostas a aten- 
tar contra a organização. Mesmo que esse 
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contingente seja pequeno perante o todo, 
seu desejo de obter ganhos ilícitos pode 
provocar grandes perdas à organização. 


Para que a organização se proteja desse 
grupo de pessoas, a prevenção se faz por 
meio de controles. Esses controles geram 
uma expectativa nos potenciais fraudado- 
res e corruptos de que poderão ser pegos 
e, com isso, eles podem preferir não correr 
esse risco. Os controles preventivos funcio- 
nam dissuadindo o cometimento da fraude 
e da corrupção. 


Existe forte ligação entre a incidência 
de fraude e corrupção e fracos contro- 
les preventivos. Em muitos casos em que 
a fraude e a corrupção são detectadas, 
é possível que tenham havido falha nos 
controles preventivos, que permitiram 
que o incidente ocorresse. 


É essencial que a organização reavalie seus 
controles preventivos direcionados para a 
fraude e corrupção e decida se algum aper- 
feiçoamento é necessário. Em caso positi- 
vo, o aperfeiçoamento deve ser implemen- 
tado assim que for possível, desde que a 
relação custo-benefício seja vantajosa. 


A organização deve sempre considerar que 
está permanentemente sujeita à ocorrên- 
cia de fraude e corrupção e ciente de que 
nem toda fraude e corrupção pode ser pre- 
venida e, nesses casos, deve avaliar se é 
mais vantajoso implementar controles de- 
tectivos do que preventivos. 


Existe forte ligação entre a incidência de fraude e corrupção 

e fracos controles preventivos. Em muitos casos em que a 

fraude e a corrupção são detectadas, é possível que tenham 

havido falhas nos controles preventivos que permitiram 
que o incidente ocorresse. 


Figura 8. Visão dos controles preventivos 
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Prática P2.1 — Estabelecer sistema de 
governança com poderes de decisão 
balanceados e funções críticas segregadas 


No mundo corporativo, a gestão nem 
sempre é realizada por quem é o proprietário 
do empreendimento, pois é comum que 
este contrate um administrador para atuar 
em seu nome. Essa situação pode levar ao 
chamado “Problema do principal-agente”. 
Esse problema trata das dificuldades que 
podem surgir quando há assimetria de 
informações entre o agente principal e 
o contratado. Do agente contratado é 
esperado que atue de acordo com os 
interesses do principal, no entanto aquele 
pode se desviar dos objetivos fixados e agir 
conforme seus próprios interesses, inclusive 
cometendo fraude e corrupção. Esse risco 
de desalinhamento de interesses também 
se aplica na administração pública, porque 
os gestores atuam em nome de um governo 
e este em nome do povo. 


Uma abordagem para mitigar os riscos des- 
sa situação é a implantação de um sistema 
de governança na organização. O escopo 
de um sistema de governança é bastante 
amplo e várias práticas desse referencial já 
abordam elementos da boa governança, 
como gestão de ética e integridade, gestão 
de riscos e controles internos. 


Portanto, em prol da governança saudável, 
a organização deve identificar as funções 
que tomam decisões críticas e segregá-las, 
de modo que a competência de decisão 
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não esteja concentrada em uma única ins- 
tância. Essa concentração é maléfica, na 
medida em que permite cometimento de 
fraude e corrupção, bem como sua ocul- 
tação. A ideia da segregação de funções 
é que nenhum servidor possa estar numa 
posição capaz de executar todas as etapas 
necessárias para cometer uma fraude e cor- 
rupção e ocultá-la. 


Além da segregação, a organização deve 
considerar implantar uma política de rota- 
ção de pessoal. Dependendo da criticidade 
da função, um prazo pode ser estabelecido 
para que uma pessoa ocupe dada posição. 
A longa permanência de uma pessoa na 
mesma função pode encorajá-la a cometer 
fraude e corrupção, uma vez que que co- 
nhecerá os controles existentes e a frequên- 
cia e a profundidade das auditorias. 


A organização deve avaliar caso a caso tan- 
to as funções que requeiram segregação 
quanto rotação. O excesso de segregação 
pode burocratizar a tomada de decisão, re- 
tardando-a além do esperado. Ademais, o 
excesso de rotação pode prejudicar a con- 
tinuidade das operações pela perda de me- 
mória organizacional. 


Prática P2.2 — Estabelecer política e 
plano de combate a fraude e corrupção 
da organização 


Quando a gestão de risco organizacional 
identificar alto risco de fraude e corrupção, 
a organização deve elaborar e documen- 


tar uma política e um plano de combate a 
fraude e corrupção”. 


A política de combate a fraude e corrup- 
ção é um documento emitido pela alta 
administração que contém o tom da orga- 
nização no combate a fraude e corrupção 
e onde fica consignado o que se espera 
dos membros dos conselhos, da alta ad- 
ministração, gestores, demais servidores 
e partes interessadas na atividade, assim 
como as consequências de se praticá-las. 
Inclui, também, uma definição de fraude 
e corrupção no contexto da organização, 
garantias de sigilo e de não retaliação ao 
denunciante, além de diretrizes de como 
denúncias devem ser apuradas”. 


Para programas de grande porte e que 
perpassam por várias organizações, ainda 
que cada organização tenha a sua política 
antifraude e anticorrupção própria, cabe 
avaliar se a adoção de uma política espe- 
cífica para o programa é justificada. Nesse 
caso, a organização coordenadora pode 
emitir uma política exclusiva para o progra- 
ma e que unifique os entendimentos entre 
todas as organizações afetadas. 


A política deverá ser desdobrada em um 
plano de prevenção de nível operacional 


que contenha as estratégias e ações da 
organização no combate a fraude e cor- 
rupção?!, detalhe quem é responsável e 
por quais atividades de controle ou ges- 
tão de risco de fraude e corrupção??, e 
estabeleça o que será feito e um crono- 
grama de implantação das atividades e 
por quais áreas. Também deverá explicar 
o propósito e as razões pelas quais as 
medidas serão adotadas e estabelecer 
as relações colaborativas com órgãos de 
fiscalização, controle, investigação e ju- 
diciais. É importante enfatizar que essa 
documentação deve definir e estabelecer 
os papéis e responsabilidades da alta ad- 
ministração, gestores e demais servidores 
e partes interessadas, interna e externa- 
mente, à organização”. 

Ademais, inclui documentar cuidadosa- 
mente todos os procedimentos de testes 
realizados para garantir o adequado fun- 
cionamento dos controles preventivos e 
detectivos, da investigação e da correção 
dos problemas identificados, bem como os 
resultados de desempenho obtidos a partir 
do monitoramento realizado. 


A figura abaixo representa essa política. 
No centro, temos o interesse da organiza- 
ção em iniciar o combate a fraude e cor- 


29 Ver Anexo 3: exemplo de questionamentos quanto ao plano de combate a fraude. 


30 Ver Anexo 4: exemplo de matriz de avaliação da política anticorrupção. 


31 Ver Anexo 5: exemplo de plano de combate a fraude e corrupção. 


32 Ver Anexo 6: exemplo de matriz de responsabilidade. 


33 Ver Anexo 7: exemplo de fluxograma para tratamento de fraudes. 
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rupção, expressa pela vontade genuína 
da alta administração em se comprome- 
ter com isso. Essa iniciativa movimenta as 


cinco engrenagens dos mecanismos, que 
movimentam as dos componentes, que 
impulsionam as das práticas. 


Figura 9. Relação de mecanismos, componentes e práticas 


TE Mecanismos 


Prevenção 
Detecção 
Investigação 
Correção 
Monitoramento 


Iniciativas de Combate 


PE Componentes 


Gestão da Ética 
Transparência 
Accountability 
Controles Preventivos 
Controles Detectivos 
Canal de Denúncia 
Auditoria Interna 

Etc. 


Prática P2.3 — Estabelecer política e práti- 
cas de gestão de recursos humanos para 
prevenir fraude e corrupção 


Políticas e práticas de recursos humanos são 
incentivos positivos para a prevenção de 
fraude e corrupção nas organizações. Assim, 
o fortalecimento do gerenciamento de re- 
cursos humanos baseia-se em princípios de 
eficiência, eficácia e transparência e em cri- 
térios objetivos, como o mérito, a equidade 
e a aptidão. 
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Procedimentos adequados de recrutamen- 
to, contratação e capacitação de servidores, 
especialmente de cargos considerados vul- 
neráveis à fraude e corrupção, e o fomento 
de uma remuneração adequada são meca- 
nismos importantes para prevenir a fraude 
e corrupção. 


Além da análise formal dos documentos pre- 
vistos em edital, a organização deve avaliar 
a fidedignidade deles e analisar os antece- 
dentes profissionais pessoais de candidatos 


a servidores, com o seu consentimento. Ser- 
vidores que cometeram fraude e corrupção 
em uma nova organização possivelmente 
tiveram também conduta desonesta em em- 
pregos anteriores. Essa avaliação deve ser 
realizada antes da contratação, antes do tér- 
mino do período probatório e nos casos de 
promoção para posições que envolvam alto 
risco de fraude e corrupção, como posições 
com alto poder de compra e de regulação. 


Os servidores devem assinar uma declara- 
ção de que se comprometem a informar à 
organização a ocorrência de processos cri- 
minais ou financeiros contra a sua pessoa. 
Essa declaração deve fazer parte do com- 
promisso do servidor com o código de ética 
e conduta previsto na prática “Adotar ter- 
mo de compromisso com os padrões éticos 
e de integridade”. 


É uma boa prática estabelecer processos 
de seleção para funções e cargos de dire- 
ção com critérios transparentes e divulga- 
ção dos resultados, para que os servidores e 
partes interessadas exerçam indiretamente 
um controle das nomeações. Para cargos de 
livre nomeação, deve-se incluir uma análise 
de antecedentes por meio de certidões emi- 
tidas por órgãos administrativos e judiciais. 


O nepotismo deve ser vedado nas suas di- 


versas formas,* 3. A organização deve es- 
tar atenta para identificar essas situações. É 
uma boa prática submeter o nomeado ou 
contratado a termo de declaração de que 
a sua contratação não incorre nesta prática. 


No desligamento do servidor da organi- 
zação, medidas devem ser tomadas para 
garantir a segurança organizacional, como, 
por exemplo, a revogação de senhas de 
sistemas e e-mail corporativos e o recolhi- 
mento de crachá, documentos, certificados 
digitais, uniformes e aparelhos eletrônicos. 


A organização deve assegurar que a sua 
área de recursos humanos ou correspon- 
dente possua documentação relativa aos 
procedimentos administrativos e disciplina- 
res que devam ser adotados em casos de 
fraude e corrupção. 


Prática P2.4 — Estabelecer política e práti- 
cas de gestão de relacionamento com en- 
tidades e pessoas que recebam recursos 
financeiros ou que dependam do poder 
de compra e de regulação da organização 


No relacionamento dos servidores com ter- 
ceiros, pode surgir o risco de fraude e cor- 
rupção, especialmente quando há recursos 
financeiros envolvidos ou quando a organi- 
zação regula alguma atividade. Caso prático 


34 No âmbito federal, o Decreto nº 7.203/2010 dispõe sobre a vedação do nepotismo. 


35 Súmula Vinculante 13 do STF: A nomeação de cônjuge, companheiro ou parente em linha reta, colateral ou por afinidade, até o 
terceiro grau, inclusive, da autoridade nomeante ou de servidor da mesma pessoa jurídica investido em cargo de direção, chefia ou 
assessoramento, para o exercício de cargo em comissão ou de confiança ou, ainda, de função gratificada na administração pública 
direta e indireta em qualquer dos poderes da União, dos Estados, do Distrito Federal e dos Municípios, compreendido o ajuste me- 


diante designações recíprocas, viola a Constituição Federal. 
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são as licitações e contratos, em que empre- 
sas perseguem o objetivo de conquistar con- 
tratos e seus prepostos mantêm contato com 
representantes de comissões de licitação. O 
mesmo se aplica ao relacionamento com re- 
presentantes de entidades sem fins lucrati- 
vos que buscam celebrar convênios e outras 
formas de transferência financeira, ou no re- 
lacionamento entre organização reguladora 
e regulada, ou fiscalizadora e fiscalizada. 


O acesso e o relacionamento entre os servi- 
dores da organização e esses terceiros devem 
estar disciplinados internamente por padrões 
claros de conduta e imparcialidade na sele- 
ção, para que conflitos de interesse não sur- 
jam e levantem suspeitas de favorecimentos. 


O risco de fraude e corrupção é reduzido 
se a organização conhece bem os terceiros 
com quem está lidando, especialmente nas 
compras mais significantes, em que o risco 
de recebimento de propina e comissões se- 
cretas é alto. A organização deve proceder 
a verificações complementares por intermé- 
dio de consulta a informações públicas da 
organização contratada e da sua alta admi- 
nistração, verificações telefônicas, notícias 
veiculadas na mídia, entre outros. 


A organização também deve estabelecer 


36 Ver Anexo 8: exemplo de avaliação de risco de fraude. 


procedimentos específicos para prevenir a 
ocorrência de fraude e corrupção no rela- 
cionamento com terceiros, tais como a ro- 
tação de pessoal e a divulgação de canais 
de denúncia, incentivando terceiros a regis- 
trarem indicações de condutas fraudulentas 
ou corruptas envolvendo a organização ou 
pessoas relacionadas a ela. 


Prática P2.5 — Gerenciar riscos e instituir 
mecanismos de controle interno para o 
combate a fraude e corrupção 


As organizações devem adotar um processo 
de gerenciamento periódico e sistemático 
de riscos organizacionais, que contemple a 
identificação, análise e avaliação dos seus 
principais riscos? *”. 


A frequência com que a organização deve 
conduzir essa avaliação de risco depende 
de fatores como o tamanho da entidade, 
sua natureza, complexidade, riscos gerais 
do setor em que a organização atua, a di- 
versidade de processos e atribuições, a 
distribuição geográfica, o nível de controle 
pelo qual a organização é monitorada por 
órgãos reguladores e de fiscalização e o ní- 
vel e a frequência de mudanças operacio- 
nais e tecnológicas. Usualmente, essa ava- 
liação é realizada de dois em dois anos. 


37 No âmbito do executivo federal, o art. 17, caput, do Decreto nº 9203/2016 dispõe que “A alta administração das organiza- 
ções da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema 
de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crí- 
tica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimen- 


to da sua missão institucional”. 


38 Ver Anexo 9: exemplo de análise de risco. 
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O objetivo final dessa avaliação é o es- 
tabelecimento de controles internos que 
mitiguem os principais riscos. Porém, o 
estabelecimento de controles internos 
genéricos não necessariamente resolve 
todos os riscos de fraude e corrupção. O 
risco de fraude e corrupção, apesar de 
ser mais um tipo de risco para a organi- 
zação, requer controles específicos para 
que sejam mitigados. Isso significa que 
a alta administração, com apoio de uni- 


dades especializadas (como, por exemplo, 
o comitê de ética, comitê de riscos, comi- 
tê de conformidade etc.), deve gerenciar 
a probabilidade de ocorrência de fraude e 
corrupção que atente contra a boa e regular 
gestão dos bens e recursos públicos. 


A figura abaixo apresenta um exemplo de 
aplicação de medidas de prevenção confor- 
me a classificação de severidade dos riscos 
na organização: 


Figura 10. Exemplo de aplicação de controles conforme o risco 


EXEMPLO DE DISTRIBUIÇÃO DE 
MEDIDAS PREVENTIVAS CONFORME O RISCO 


Programa, serviço 
ou benefício 
promovido 
pela organização 


Alto risco 


Baixo risco 


e Rotação de pessoal 
e Segregação de função 
e Revisão das transações 


e Inspeções aleatórias 
e Pessoal experiente 
e Análise preditiva 


e Código de ética e de conduta 
e Treinamento antifraude 

e Comissão de ética 

e Conflito de interesse 


Fonte: ANAO (2011) 


Para serem eficientes e eficazes, todos na 
organização, do servidor à alta administra- 
ção, devem se submeter aos controles inter- 
nos. Isso não significa que todos devam ser 
submetidos, necessariamente, aos mesmos 
controles internos. Os controles podem e 


devem ser particularizados, conforme o ris- 
co oferecido pelo agente. 


Nesse sentido, a gestão do risco de fraude 


e corrupção deve ser executada dentro do 
âmbito da gestão de risco organizacional, 
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haja vista a interseção entre os diferentes 
riscos existentes (Figura 5). Todavia, mesmo 
que a avaliação de risco de fraude e corrup- 
ção possa estar alinhada a outras iniciativas 
de avaliação de risco, será benéfico para 
muitas organizações manter tal avaliação 
como uma atividade autônoma, consideran- 
do seus objetivos específicos e focos. 


A gestão de risco de fraude e corrupção é 
composta, usualmente, de cinco elementos: 
estabelecer o ambiente de controle; identi- 
ficar o risco inerente de fraude e corrupção; 
avaliar e classificar os riscos por intermédio 
da probabilidade e do impacto do risco ine- 
rente de fraude e corrupção; atuar nos riscos 
inerentes e residuais de fraude e corrupção 
com maior probabilidade e impacto, por 
meio do estabelecimento de controles miti- 
gatórios apropriados; e monitorar, avaliar e 
comunicar a implementação dos controles*”. 


Estabelecer ambiente de controle significa 
identificar os aspectos cultural, legal, regu- 
latório, político, governança, estruturas, es- 
tratégias, processos, normas, relações com 
partes interessadas, entre outros, especial- 
mente no que tange aos aspectos de fraude 
e corrupção, visando uma melhor avaliação 
dos riscos inerentes de fraude e corrupção 
na organização. 


Identificar o risco inerente de fraude e cor- 
rupção significa mapear as fraudes que po- 
tencialmente podem ocorrer na ausência de 


controles internos. Neste conjunto inclui-se 
todo tipo de esquema fraudulento e de cor- 
rupção envolvendo incentivos, pressões e 
oportunidades. Deve ser dada atenção aos 
incentivos institucionais, pois mesmo sendo 
criados com a boa intenção de fomentar 
alguma prática, o erro na dosimetria pode 
provocar comportamentos indesejáveis. 


Nesse processo de identificação de riscos, 
é importante considerar o potencial de que 
o servidor fraudador ou corrupto venha a 
burlar os controles. Em geral, os servidores 
conhecem os controles existentes e, caso 
queiram cometer um ato fraudulento ou de 
corrupção, usarão seu conhecimento da or- 
ganização para esconder seus atos. 


A identificação dos riscos requer informa- 
ções de diversas fontes. É importante que 
o gestor crie uma equipe para a identifica- 
ção de riscos que inclua indivíduos de diver- 
sas áreas de conhecimento, por exemplo o 
pessoal das áreas de compras, de finanças, 
recursos humanos, contabilidade, do setor 
jurídico, relacionamento com o público, 
consultores. É importante ouvir, também, 
os demais gestores de riscos, para que a 
gestão do risco de fraude e corrupção este- 
ja em harmonia com a gestão de riscos em 
geral da organização. Auditores internos 
com experiência em combater fraude e cor- 
rupção podem contribuir com essa identi- 
ficação, repassando suas experiências e os 
resultados de avaliações anteriores. 


39 Para outro exemplo, ver o Anexo 10: processo de avaliação de risco de fraude pela norma AS 8001-2008: 


Fraud and corruption control. 
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Historicamente, as funções de auditoria inter- 
na contemplavam avaliações de risco de frau- 
de e corrupção. Entretanto, é cada vez mais 
aceito que a avaliação de risco de fraude e 
corrupção deve ser uma responsabilidade da 
gestão e que a função de auditoria interna 
deve continuar suficientemente independente 
para ser capaz de desempenhar objetivamen- 
te seu papel de avaliar controles internos. 


Identificados os riscos inerentes, avalia-se a 
probabilidade de sua ocorrência e seu im- 
pacto na organização. Esse julgamento é 
feito com base na experiência dos gestores 
e no histórico de ocorrências, o que resulta- 
rá numa relação ordenada do risco inerente 
mais grave ao menos severo. 


Depois que os riscos relevantes de fraude e 
corrupção forem identificados e avaliados, 
os controles internos existentes devem ser 
confrontados com esses riscos. Os riscos de 
fraude e corrupção que ainda permanecerem 
mesmo com adoção dos controles, integram 
o conjunto de riscos residuais de fraude e 
corrupção. A organização tem que avaliar o 
potencial desses riscos residuais e decidir so- 
bre os controles preventivos e detectivos de 
que deseja lançar mão para mitigá-los, con- 
siderando se aceitará a permanência no nível 
do risco residual atual ou se implantará mais 
controles para diminuir esse nível. 


Após definidos os controles, compete à 
atividade de gestão de risco monitorar, 
avaliar e comunicar regularmente se esses 
controles estão sendo efetivamente imple- 


mentados pelo gestor, retroalimentando o 
processo de gestão de risco como um todo. 
A atividade de gestão de risco enquadra-se 
na segunda linha de defesa, enquanto a da 
implementação dos controles pelo gestor 
trata-se da primeira linha de defesa. São 
instâncias separadas que possibilitam uma 
melhor segregação de funções. 


As deficiências relatadas devem ser consi- 
deradas no âmbito da gestão de risco de 
fraude e corrupção, a fim de se verificar se 
os relatos estão compatíveis com os riscos 
assumidos e se há necessidade de alguma 
alteração nessa gestão. O propósito desse 
monitoramento é assegurar que a gestão 
de riscos de fraude e corrupção esteja apro- 
priada para as operações da organização e 
permita alcançar os objetivos para os quais 
foi estabelecida. 


Uma vez descoberta uma fraude ou um ato 
de corrupção, é necessário avaliar se os 
controles falharam ou se isso decorreu de 
um cenário não previsto. Os controles de- 
vem ser reforçados ou criados, conforme o 
caso, considerando sempre a relação custo- 
-benefício da sua implementação. 


Uma característica fundamental para o su- 
cesso de uma de gestão de risco de fraude 
e corrupção e de sua avaliação é a adesão 
da alta administração, de gestores seniores 
e de outros encarregados pela governança, 
como o conselho de governança, o conse- 
lho de auditoria, o conselho de ética, o co- 
mitê de gestão de risco, entre outros. Sem 
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esse apoio de alto nível, a gestão de risco e 
a sua avaliação podem perder força, evitar 
ou lidar inadequadamente com determina- 
dos problemas ou ter a sua qualidade afeta- 
da por outros gestores que escolheram não 
participar da gestão de risco. 


A responsabilidade geral pela avaliação de 
risco de fraude e corrupção deve ser assu- 
mida pelos encarregados pela governança, 
como os conselhos citados ou um comitê 
designado para essa finalidade. Para orga- 
nizações que não possuem um conselho de 
administração ou governança ou um comi- 
tê encarregado, a responsabilidade geral 
pode ser atribuída à alta administração. 


A alta administração deve ser responsável por 
realizar a avaliação de risco, informando perio- 
dicamente aos órgãos encarregados pela go- 
vernança sobre o estado e os resultados desta 
avaliação e a resultante implementação de 
qualquer plano de ação de mitigação de risco. 


Além dos membros da alta administração 
e de gestores seniores, podem estar en- 
volvidos servidores da área de complian- 
ce, jurídica, de atendimento ao público, de 
aquisições, de contabilidade, de finanças, 
de recursos humanos e da auditoria interna. 
Também pode ser valioso envolver servi- 
dores de diferentes níveis de experiência e 
hierarquia na organização, como da adminis- 
tração sênior e da equipe júnior. O pessoal 
sênior geralmente sabe como as funções de- 
vem operar, e o pessoal de nível hierárquico 
inferior conhece as operações na prática. 
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Prática P2.6 — Implantar função antifrau- 
de e anticorrupção na organização 


Em organizações que apresentam alto risco de 
fraude e corrupção, é importante a criação de 
uma função antifraude e anticorrupção. Essa 
função deve ser composta por um indivíduo 
ou uma equipe, em tempo parcial ou total, a 
depender do tamanho, natureza, complexi- 
dade e tipos de riscos da organização. Este 
profissional será responsável por administrar 
as informações sobre a ocorrência de fraude 
e corrupção, supervisionar, monitorar e avaliar 
a implementação dos controles de fraude e 
corrupção e realizar investigações, com pes- 
soal próprio, cedido por outras unidades ou 
contratado externamente. 


Essa função pode auxiliar na identificação e 
avaliação dos riscos e controles de fraude e 
corrupção, mas não é responsável por sua 
gestão e implementação. É importante que 
essa pessoa ou equipe não esteja vinculada 
à auditoria interna, mantendo assim sua in- 
dependência ao avaliar a função antifraude 
e anticorrupção da organização. 


Essa função deve ter como atribuições o 
recebimento qualquer relato ou denúncia 
de fraude e corrupção, tanto interna como 
externamente à organização; desenvolvi- 
mento de um sistema de registro, resposta 
e monitoramento dos relatos ou denúncias 
de fraude e corrupção; servir como reposi- 
tório do conhecimento do risco de fraude e 
corrupção; provimento de a capacitação de 
qualquer atividade relacionada ao combate 


a fraude e corrupção; elaborar, implementar 
e executar um plano regular de avaliação do 
risco de fraude e corrupção na organização, 
abarcando experiências e práticas anteriores. 


É desejável que o pessoal designado para 
essa função tenha a capacidade de en- 
tender e traduzir as melhores práticas de 
controle de fraude e corrupção em uma 
linguagem amigável, de forma a ministrar 
ou coordenar capacitações acerca dessa 
temática. É recomendável que o profissio- 
nal esteja atualizado com as boas práticas 
adotadas nesse campo e que possua for- 
mação adequada; participe de relevantes 
seminários, conferências e workshops sobre 
o tema; mantenha documentos e matérias 
de referência, e estabeleça relacionamento 
com os servidores responsáveis pela gestão 
de riscos e implementação de controles de 
fraude e corrupção e auditoria interna. 


Recomenda-se a organização de um re- 
positório de conhecimento, consistindo 
em um sistema de gestão de incidentes 
de fraude e corrupção. O objetivo desse 
sistema é centralizar todas as informações 
relativas à fraude e corrupção para que as 
diversas partes interessadas, tais como os 
gestores de negócio e de risco, a alta ad- 
ministração e a auditoria interna, possam 
avaliar o histórico de fraude e corrupção e 
suas tendências, tomando as medidas ca- 
bíveis em suas áreas de competência. 


São informações importantes para esse sis- 
tema: data da denúncia, data do incidente, 


como o incidente foi reportado, natureza 
do incidente e setor afetado, valor da perda 
potencial ou efetiva, ação tomada e resul- 
tados obtidos. Nesse sistema, além das de- 
núncias recebidas pelo canal de denúncias, 
devem ser registrados também quaisquer 
outros incidentes de fraude e corrupção 
que a organização tenha identificado ou to- 
mado conhecimento por outros meios. 


Tanto a função antifraude e anticorrupção quan- 
to a auditoria interna promovem avaliações da 
gestão de riscos e controles de fraude e cor- 
rupção na organização, porém as funções anti- 
fraude e anticorrupção fazem parte da segunda 
linha de defesa, que reporta-se ao gestor, e a 
auditoria interna faz parte da terceira linha de 
defesa, reportando-se à alta administração e aos 
órgãos responsáveis pela governança, como 
conselhos de administração e de auditoria. 


Em alguns casos, essa atividade é atribuída 
à auditoria interna, mas a sua exclusão des- 
sa atividade visa contribuir para a manuten- 
ção da sua independência durante a avalia- 
ção dos controles internos. 


Prática P2.7 - Promover programa de 
capacitação sobre combate a fraude 
e corrupção 


Consiste em criar iniciativas para cons- 
cientizar gestores, auditores internos, ser- 
vidores, terceirizados e contratados sobre 
a importância de se implementar ações 
propositivas de combate a fraude e cor- 
rupção na organização, por meio de pro- 
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gramas de capacitação“. 


Servidores, gestores e auditores internos, 
ao assumirem o cargo e depois, periodica- 
mente, devem ser submetidos a capacita- 
ção que os conscientize sobre os diversos 
aspectos relacionados à fraude e corrupção. 
Partes interessadas que tenham impacto na 
gestão, como fornecedores, também de- 
vem ser incluídos nessas capacitações. 


As ações de capacitação podem ser organiza- 
das de várias formas, como cursos presenciais 
ou a distância, workshops, divulgação de con- 
teúdo antifraude e anticorrupção em periódico 
da organização, e-mail corporativo, vídeos etc. 


É importante, também, divulgar informações 
sobre a política de gerenciamento do risco de 
fraude e corrupção e discutir consequências 
resultantes da prática de fraude e corrupção, 
tais como sanções, ações disciplinares e outras 
formas de correção e punição. Como resulta- 
do, a capacitação ajuda a criar uma cultura de 
integridade, ética e conformidade com leis e 
regulamentos dentro da organização. 


A capacitação ajuda a criar 
uma cultura de integridade, 
ética e conformidade com 
leis e regulamentos dentro 
da organização. 


Prática P2.8 - Comunicar a política e gestão 
de risco de fraude e corrupção e os resulta- 
dos das correções nos casos detectados 


Refere-se ao dever da administração de 
comunicar interna e externamente informa- 
ções de qualidade que sejam necessárias à 
consecução dos objetivos da organização. 
A administração deve fornecer comunica- 
ções específicas e dirigidas que abordam 
expectativas de comportamento e respon- 
sabilidades das pessoas que atuam na or- 
ganização. Uma comunicação apropriada é 
necessária, não somente dentro da organi- 
zação, mas também fora dela. 


Essa comunicação deve transmitir a impor- 
tância da política e gestão de riscos de frau- 
de e corrupção para o alcance dos objeti- 
vos da organização, a linguagem comum de 
riscos e a responsabilidade de cada um na 
gestão de riscos. 


A organização deve manter os servidores 
e partes interessadas conscientes do que é 
considerado fraude e corrupção, alertando- 
-os do que devem fazer caso identifiquem 
alguma atividade suspeita. Manter um 
sentimento de que a probabilidade de ser 
pego é alta produz uma efetiva dissuasão 


de intenções fraudulentas e corruptas. 


Além disso, divulgar amplamente os resul- 
tados de casos de fraude e corrupção de- 
tectados e punidos exemplarmente tem um 


40 Ver Anexo 11: exemplo de matriz para avaliação de treinamento anticorrupção. 
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efeito dissuasivo que auxilia na sua preven- 
ção. A expectativa de que a organização irá 
detectar, investigar e punir a fraude e cor- 
rupção ajuda a deter potenciais fraudadores 
e corruptos em razão das prováveis sanções 
que podem ser impostas, como demissão, 
multa, confisco de bens, responsabilização 
civil e penal, entre outras. 


Essa comunicação deve ser realizada re- 
gularmente e pode ser operacionalizada 
por intermédio de relatórios de gestão 
e financeiro anuais; de páginas internas 
e externas da internet; de e-mails insti- 
tucionais, campanhas e press release em 
mídias locais e nacionais. Algumas in- 
formações são importantes e devem ser 
comunicadas, por exemplo: que a orga- 
nização possui controles para prevenir e 
detectar fraudes e corrupção; que há alta 
probabilidade de fraudadores e corruptos 
serem identificados e punidos; os casos 
de correção e punição; a existência de ca- 
nal de denúncias; e o custo da fraude e 
corrupção para os cidadãos honestos. 


O objetivo principal da comunicação é fa- 
zer com que servidores, beneficiários de 
programas, usuários de serviços públicos, 
fornecedores e outras partes interessadas 
conheçam o compromisso da organização 
em combater a fraude e a corrupção e em 
obter de todos o apoio efetivo a esse com- 
bate. Uma estratégia adequada de comuni- 
cação tem um grande poder para mudar a 


atitude do público em geral frente à fraude 
e à corrupção. 


As comunicações devem ser avaliadas espe- 
cialmente no tocante à sua efetividade e ao 
alcance dos objetivos. Deve-se buscar uma 
relação custo-benefício adequada. Não obs- 
tante, é difícil estabelecer uma ligação direta 
entre a comunicação e a diminuição da frau- 
de e corrupção, devido a outros fatores que 
possam influenciar essa diminuição. 


P3 - TRANSPARÊNCIA E ACCOUNTABILITY 


Se a organização se esforça para ter um am- 
biente correto e ético e atua para que a frau- 
de e corrupção não ocorram, não há motivos 
para que ela não demonstre isso à sociedade. 
Permitir que terceiros observem as decisões 
da alta administração e acompanhem os resul- 
tados da gestão contribuirá para que a própria 
organização reveja os seus processos antifrau- 
de e anticorrupção, identificando os aspectos 
que precisam ser melhorados. Mas isso só é 
possível se a organização instrumentalizar a 
sociedade com dados e fatos, promovendo a 
transparência e o accountability *'. 


Prática P3.1 — Promover a cultura da trans- 
parência e divulgação proativa das infor- 
mações, utilizando-se especialmente dos 
meios de tecnologia da informação 


A transparência é um dos mecanismos mais 
eficientes e essenciais para o combate a 


41 Art. 3º do Decreto nº 9.203/2017 dispõe que “São princípios da governança pública: V — prestação de contas e responsabili- 


dade; e VI — transparência”, 
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fraude e corrupção. Para tanto, a organi- 
zação deve conscientizar seus servidores, a 
alta administração, os membros de conse- 
lhos e as partes interessadas sobre a nature- 
za pública das informações. 


Toda informação produzida ou custodiada 
pela organização é precipuamente pública, 
e isso precisa ser bem compreendido por 
todos. Sendo assim, não cabe avaliação de 
conveniência quanto à publicidade da infor- 
mação. Se houver informação com alguma 
restrição de acesso, isso deve ser tratado 
como uma exceção, que só ocorrerá após 
uma classificação que a torne sigilosa e por 
tempo determinado. 


O objetivo da busca por transparência é ins- 
trumentalizar o controle social. Isso faz com 
que qualquer pessoa, em qualquer lugar, 
possa ser um fiscal da gestão pública. Os 
ambientes transparentes dificultam que os 
desvios prosperem, pois elevam a probabi- 
lidade de que as ocorrências de fraudes e 
corrupções sejam identificadas. 


Para a melhor efetividade da transparência, 
as informações devem estar prontamente 
disponíveis ao público, independentemente 
de requerimento de interessados. A orga- 
nização deve rotineiramente publicar suas 
informações à medida que as produza e re- 
ceba. Dessa forma, estarão atualizadas e, a 
qualquer momento, poderão ser consulta- 
das sem a necessidade de uma provocação 
exterior à organização. 
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A internet deve ser o principal meio de 
divulgação das informações. Os sítios em 
que estiverem disponíveis as informações 
devem, também, oferecer a informação no 
formato de dados abertos, o que significa 
permitir que as informações sejam não só 
pesquisáveis mas também exportáveis em 
arquivos. Com esse tipo de formato, am- 
plia-se o controle social, pois se permite 
que pesquisadores, imprensa, sociedade 
civil organizada e quaisquer interessados 
controlem a gestão a partir das informações 
brutas, desenvolvendo novos relatórios, 
aplicações e sistemas de controle social. 
Por exemplo, já existem muitos exemplos 
de sítios e aplicativos para smartphones vol- 
tados ao acompanhamento do orçamento 
público, doações eleitorais, atuação políti- 
co-partidária etc. 


Mesmo que as informações estejam dispo- 
níveis na internet, a organização deve man- 
ter serviço de informação ao cidadão para 
orientar sobre como obter a informação 
desejada. Esse serviço envolve receber re- 
querimentos de acesso e acompanhar a sua 
tramitação. O serviço deve estar disponível 
por múltiplos canais, como telefone, formu- 
lário na internet e atendimento presencial. 


Além disso, as informações devem estar 
também disponíveis em formatos compa- 
tíveis com as necessidades especiais das 
pessoas com deficiência. Isso implica que 
sítios da internet devem atender a padrões 
de acessibilidade para acesso amplo, inde- 
pendente da limitação pessoal. 


Além das informações gerais, a organiza- 
ção deve disponibilizar informações que 
favoreçam o combate a fraude e corrup- 
ção. A identificação dessas informações 
pode ser feita em parceria com entidades 
de combate a fraude e corrupção, como 
órgãos de controle, de fiscalização, de in- 
vestigação e judiciais, e com a sociedade 
em geral, especialmente por intermédio 
de pesquisas. 


Os ambientes transparentes 
dificultam que os desvios 
prosperem, pois elevam a 
probabilidade de que as 
ocorrências de fraudes e 

corrupções sejam identificadas. 


Prática P3.2 — Promover a cultura da pres- 
tação de contas e responsabilização pela 
governança e gestão 


A prestação de contas da organização 
e a responsabilização pela governança 
e gestão, que compõem o conceito de 
accountability, requerem que a alta ad- 
ministração voluntariamente divulgue os 
resultados alcançados pela organização, 
tanto nas atividades-meio quanto nas ati- 
vidades-fim da organização. 


Em relação às atividades-meio, deve-se di- 
vulgar, por exemplo: 


=" a gestão patrimonial dos principais 
bens móveis, a exemplo de veículos e 
equipamentos, informando a sua natu- 
reza, quantidades e destinação, e dos 
bens imóveis, a destinação e o estado 
de uso; 


= os procedimentos licitatórios e contra- 
tos firmados, não apenas em relações, 
mas com cópia dos principais documen- 
tos que integrem esses procedimentos; 


= os dados da execução orçamentária, 
detalhados e atualizados, em especial 
das despesas, repasses e transferências 
de recursos; 


= política de recursos humanos, benefi- 
cios oferecidos e, a depender da na- 
tureza da organização, a remuneração 
individualizada de seus servidores, in- 
clusive o recebimento de diárias e a 
identificação das viagens. 


Mais importantes ainda são os resultados 
obtidos nas atividades-fim, uma vez que 
são essas que justificam o propósito da or- 
ganização. Os principais objetivos e indica- 
dores devem ser tornados públicos, bem 
como as respectivas metas definidas, pra- 
zos e os resultados alcançados. O objetivo 
é permitir que o controle social acompa- 
nhe o desempenho das atividades da orga- 
nização e, assim, saiba se a sua função está 
sendo cumprida adequadamente. Os resul- 
tados de trabalhos realizados por auditoria 
interna e externa devem estar disponíveis, 
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além das prestações de contas anuais, seus dos, pode-se aferir a efetividade da orga- 


pareceres e julgamentos. nização. Se a efetividade for baixa, espe- 

cialmente se houver outras organizações 
Conhecendo como os insumos da orga- similares para comparação, é o caso de se 
nização (orçamento, pessoal, patrimônio) avaliar se há má gestão ou indícios de frau- 
são geridos e os resultados-fim alcança- de e corrupção. 


Os principais objetivos e indicadores 
devem ser tornados públicos, 
bem como as respectivas metas definidas, 
prazos e os resultados alcançados. 
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DETECÇÃO 


prevenção da fraude e corrupção, 

que foi apresentada no primeiro me- 

canismo, está relacionada com a sua 
detecção, mas não são a mesma coisa. A 
prevenção, como mostrado, inclui políticas, 
processos, capacitação e comunicação para 
evitar que a fraude e corrupção ocorram, 
enquanto a detecção foca em atividades e 
técnicas para identificar tempestivamente 
quando uma fraude ou corrupção ocorreu 
ou está ocorrendo. A detecção consiste na 
obtenção de informações suficientes que 
garantam uma investigação. Essas informa- 
ções podem resultar de controles estabele- 
cidos, auditorias realizadas e fontes internas 
e externas à organização. 


Um forte fator de dissuasão da fraude e 
corrupção é a consciência em todos de que 
mecanismos detectivos estão em vigor, o 
que acaba tendo o efeito de prevenção. En- 
tretanto, enquanto na prevenção as medi- 
das são aparentes, na detecção as medidas 
são, por natureza, ocultas, o que significa 
que, em sua maioria, são executadas sem 
que servidores e partes interessadas saibam 


que estão sendo operacionalizadas no dia a 
dia da organização. 


O objetivo primário da detecção é eviden- 
ciar a fraude e a corrupção que está ocor- 
rendo ou já ocorreu. A detecção tem a fun- 
ção de identificar as fraudes e corrupções 
caso as medidas preventivas falhem. Há que 
se considerar que, mesmo com as práticas 
de prevenção implantadas, alguns agentes 
podem decidir pelo cometimento de frau- 
de e corrupção, seja porque avaliam que os 
riscos são baixos, seja porque os benefícios 
são vultosos, ou seja, a relação risco-benefi- 
cio da fraude e da corrupção é, ainda, favo- 
rável na sua avaliação. 


No combate a determinados esquemas de 
fraude e corrupção, os mecanismos de de- 
tecção se tornam mais atraentes, pois apre- 
sentam custo-benefício melhor do que os 
mecanismos de prevenção”. No entanto, 
toda organização deve considerar tanto a 
prevenção quanto a detecção da fraude pois, 
combinados, esses mecanismos aumentam a 
efetividade da estratégia de combate. 


42 Em programas executados com múltiplos beneficiários e em ampla distribuição territorial, a fraude pode ocorrer de forma pul- 
verizada e de pequeno valor, o que tornaria o custo-benefício dos controles preventivos desfavoráveis. Nesse caso, a detecção da 
fraude é mais viável do que a prevenção, especialmente se baseada em tratamento de dados. 
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Um forte fator de dissuasão da fraude e corrupção é a 
consciência em todos de que mecanismos detectivos estão em vigor, 
o que acaba tendo o efeito de prevenção. 

Entretanto, enquanto na prevenção as medidas são aparentes, 
na detecção as medidas são, por natureza, ocultas. 


O mecanismo de detecção é composto pelos controles detectivos, pelo canal de denúncia 
e pela auditoria interna. 


Mecanismo - Detecção 


Componente D1 — Controles detectivos 


Prática D1.1 — Controles reativos de detecção 


Prática D1.2 — Controles proativos de detecção 


Prática D1.3 - Documentar as técnicas de detecção de fraude e corrupção 


Componente D2 - Canal de denúncias 


Prática D2.1 — Estabelecer canal de denúncias 


Prática D2.2 — Gerenciar as denúncias recebidas 


Prática D2.3 — Análise e admissibilidade das denúncias 


Componente D3 - Auditoria interna 


Prática D3.1 — Avaliar a política, o plano, a gestão de risco de fraude e corrupção e 
os controles internos da organização 


Prática D3.2 - Avaliar a cultura e gestão da ética e da integridade 


Prática D3.3 — Planejar e realizar auditorias e investigações de fraude e corrupção 


Prática D3.4 — Estabelecer uma sistemática de divulgação de relatórios 
que tratam de fraude e corrupção 
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D1 - CONTROLES DETECTIVOS 


Assim como o gestor da atividade é o prin- 
cipal agente na prevenção por meio de con- 
troles internos, ele também é o principal res- 
ponsável pelos controles internos detectivos. 
O propósito desses controles é verificar os 
registros em busca de fraudes e corrupções 
que já ocorreram ou estão ocorrendo. 


A detecção dessas fraudes e corrupções não 
só aciona os mecanismos de investigação e 
de correção a fim de identificar e punir o 
responsável e recuperar o montante desvia- 
do, mas também pode impedir a sequência 
de novas fraudes e corrupções, possuindo, 
portanto, efeitos preventivos. 


Prática D1.1 - Controles reativos 
de detecção 


A implementação sistemática de indi- 
cadores de possível fraude e corrupção 
(sinais de alerta) melhora a eficiência e 
eficácia das ações de detecção. Os indi- 
cadores são circunstâncias incomuns nas 
atividades da organização e, em razão 
disso, precisam ser investigadas. 


Como as organizações se valem de tecno- 
logia da informação para executar seus pro- 
cessos, muitos indicadores podem ser au- 
tomatizados, de forma que uma supervisão 
contínua pode ser implementada, e sobre 
todas as transações. 


O uso de indicadores inclui três etapas: 
=" identificar indicadores; 
=" implementar indicadores; 
= avaliar transações detectadas. 


A identificação de indicadores consiste em 
mapear as circunstâncias que são incomuns 
na organização, o que requer experiência na 
atividade. Isso deve ser feito pelo gestor da 
atividade, mas com apoio do gestor de risco e 
da função antifraude e anticorrupção, quando 
esta existir. 


Na segunda etapa, implementa-se o indica- 
dor, preferencialmente nos sistemas informa- 
tizados da organização. Um sistema de su- 
pervisão com os indicadores implementados 
permite acompanhar em tempo real as transa- 
ções realizadas nos sistemas da organização. 
Se algum indicador importante não for viável 
nesse processo de automação, deve-se avaliar 
o custo-benefício de um controle manual. 


Na terceira etapa, o sistema de supervisão, ao 
detectar que algum evento atende aos crité- 
rios do indicador, adota as decisões pré-defi- 
nidas pelo gestor. As decisões podem ser de 
duas ordens. A primeira é impedir o prosse- 
guimento da transação, encaminhando-a para 
análise humana. Caberá ao gestor verificar se 
a transação realmente é indício de uma fraude 
e corrupção ou apenas um falso positivo. No 


43 Falso positivo nesse caso é uma transação que o sistema de supervisão detectou por atender aos critérios do indica- 
dor e que, portanto, apresentam indício de fraude, mas que ao se verificar, observa-se que há justificativas para sua ocor- 


rência sem vinculação à atividade fraudulenta. 
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primeiro caso há necessidade de apuração 
e no segundo libera-se a transação. 


O fato de paralisar a transação requer que a 
medida de avaliação seja rápida, o que nem 
sempre é viável quando há grande volume 
de detecções. Então, a segunda opção de 
decisão que o sistema de supervisão pode 
tomar é permitir que a transação se conclua, 
encaminhando a ocorrência ao gestor para 
que avalie se cabe alguma apuração. Nesse 
caso, o gestor pode avaliar em lote todas as 
transações detectadas. 


Uma transação pode acionar mais de um in- 
dicador, o que reforçaria os indícios sobre ela. 
Então, o sistema pode utilizar isso para pon- 
derar e gerar uma métrica de criticidade para 
classificar as transações em níveis de riscos. 


A vantagem de um acompanhamento 
contínuo é a tempestividade para impe- 
dir que uma possível fraude e corrupção 
prossiga livremente. 


São exemplos de indicadores: aprovação de 
processos ou fases em tempo rápido; paga- 
mentos realizados por pessoa, em valores e 


44 Ver Anexo 13: exemplos de sinais de alerta. 


dias e horários não usuais; contratação com 
dispensa com valor logo abaixo do limite; 
licitação com preço pouco abaixo do orça- 
mento etc.” 


Prática D1.2 — Controles proativos 
de detecção 


Além dos indicadores implantados na práti- 
ca anterior, que são reativos pois, uma vez 
implantados, automaticamente detectam 
as ocorrências com base nos indicadores 
mapeados, existem também os contro- 
les proativos, que requerem que os ges- 
tores os promovam periodicamente. Para 
tanto, a organização pode usar técnicas 
de análise de dados e outras ferramentas 
tecnológicas para detectar atividades frau- 
dulentas. Esse conjunto de técnicas são 
chamadas de data mining”, data matching 
e data analysis”. 


Por meio da análise de dados, após a lim- 
peza e modelagem dos dados brutos é 
possível identificar anomalias e tendências 
em grandes bases transacionais. A diferen- 
ça dessa técnica para um acompanhamen- 
to contínuo baseado em indicadores é que 


45 Data mining é o processo de selecionar, explorar e modelar grandes quantidades de dados para revelar padrões, tendências 
e relações que podem ajudar a identificar casos de fraude e corrupção. Disponível em: <http://www2.sas.com/proceedings/su- 
gi22/DATAWARE/PAPER128.PDF>. Acesso em: 10 ago. 2018. 


46 Data matching descreve os esforços para comparar dois conjuntos de dados coletados. Isso pode ser feito de muitas manei- 
ras diferentes, mas o processo é muitas vezes baseado em algoritmos programados, em que computadores executam análises 
sequenciais de cada item de um conjunto de dados, comparando-a com cada item de outro. Disponível em: <https://www.techo- 
pedia.com/definition/28041/data-matching >. Acesso em: 10 ago. 2018. 


47 Data analysis é um processo de inspeção, limpeza, transformação e modelagem de dados com o objetivo de descobrir informa- 
ções úteis, sugerir conclusões e apoiar a tomada de decisões. A análise dos dados tem várias facetas e abordagens, que engloba 
diversas técnicas sob uma variedade de nomes, em diferentes negócios, ciências e domínios das ciências sociais. Disponível em: 
<https://en.wikipedia.org/wiki/Data analysis>. Acesso em: 10 ago. 2018. 
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nesta o gestor precisa conhecer e imple- 
mentar os indicadores, ao passo que, com o 
uso de técnicas de análise de dados, a pró- 
pria técnica aponta o que seriam os indica- 
dores, ou seja, identifica o comportamento 
anômalo e suspeito. 


Esse comportamento nem sempre é intuiti- 
vo para o gestor, o que o impede de iden- 
tificá-lo por meio de sua experiência. Em 
alguns casos pode até ser contra intuitivo. 
Nessa situação, apenas a análise de dados 
pode revelar essa realidade. 


Relações ocultas entre pessoas, entidades 
e eventos podem ser identificadas na análi- 
se de dados, e as relações suspeitas podem 
ser encaminhadas para apuração específica. 
Para apresentação dos resultados, as técni- 
cas de visualização de dados devem ser con- 
sideradas, pois são mais efetivas para a co- 
municação com qualquer perfil de audiência. 


As anomalias apontadas por esse tipo 
de análise não necessariamente indicam 
a ocorrência de fraude e corrupção, mas 
eventos singulares que merecem avaliação 
individualizada para a exclusão da possibi- 
lidade de fraude e corrupção e, no caso da 
não exclusão, uma investigação. 


Prática D1.3 - Documentar as técnicas de 
detecção de fraude e corrupção 


A organização deve documentar as técnicas 
desenvolvidas e implementadas na detecção 
de fraude e corrupção e o desempenho de- 
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las deve ser testado e registrado, a fim de 
melhorá-las e eliminar controles ineficientes. 


A documentação envolve, mas não se li- 
mita a, planejar o processo de detecção 
de fraude e corrupção, os controles espe- 
cíficos, os papéis e responsabilidades pela 
implementação, monitoramento, apura- 
ção, comunicação e pelos recursos tecno- 
lógicos requeridos. 


Ao divulgar que implementa controles 
detectivos com o objetivo de dissuasão, 
portanto como medida preventiva, os as- 
pectos técnicos desses controles devem 
ser resguardados do público e mesmo no 
âmbito da organização. A alta administra- 
ção deve definir os perfis de acesso a essa 
informação. Essa medida tem o propósi- 
to de evitar que os controles possam ser 
burlados e que os fraudadores e corruptos 
escapem da detecção. 


D2 - CANAL DE DENÚNCIAS 


A denúncia é um dos principais mecanismos 
pelo qual a fraude e a corrupção são identi- 
ficadas. As organizações nunca eliminarão o 
risco de fraude e corrupção por completo; por 
mais que se esforcem em detectar fraude e 
corrupção com base em controles e informa- 
ções internas, há limites práticos para isso. 


Controles baseados em amostragem dei- 
xam margem para que a fraude e a corrup- 
ção ocorram por longos períodos até serem 
detectadas. As fraudes e corrupções que 


ocorrem abaixo dos limiares dos controles, 
em geral por gestores que sabem dos va- 
lores desses limiares, se tornam também 
invisíveis. Fraude e corrupção cometidas 
mediante conluio de servidores, alta admi- 
nistração, beneficiários de programas, usu- 
ários de serviços públicos e fornecedores 
desafiam todos os controles possíveis. 


Esses são exemplos que justificam a adoção 
de canais denúncias. Os olhos e ouvidos 
dos cidadãos e das partes interessadas es- 
tão em todos os lugares, e a organização 
deve estar preparada para se aproveitar 
desse controle difuso e gratuito. 


Prática D2.1 — Estabelecer canal 
de denúncias 


Significa que a organização implementa 
e opera um canal por onde denúncias de 
fraude e corrupção contra a organização 
possam ser reportadas. O propósito do 
canal é contribuir com informações à fun- 
ção antifraude e anticorrupção, ao ges- 
tor, à auditoria interna e à corregedoria 
para identificar e cessar as fraudes e as 
corrupções. Além disso, o canal serve de 
mecanismo de dissuasão para potenciais 
fraudadores e corruptos. As pesquisas in- 
dicam que uma das medidas mais efetivas 
para detecção de fraude e corrupção são 
as denúncias recebidas**. 


O canal deve estar disponível para qualquer 
cidadão fazer uma denúncia, e a organização 
deve permanentemente divulgá-lo, especial- 
mente a servidores e partes interessadas, tais 
como beneficiários de programas, usuários 
de serviços públicos e fornecedores. O canal 
deve oferecer várias opções de denúncia além 
dos formulários eletrônicos na internet, como 
e-mail, telefone, carta e presencialmente. O 
formulário eletrônico deve ser estruturado de 
forma que induza o denunciante a reportar 
o máximo de informações relevantes que co- 
nheça, permitindo à organização tratar as in- 
formações recebidas de forma adequada. No 
caso de denúncias por telefone e presenciais, 
o atendente deve estar capacitado para con- 
duzir a entrevista com o denunciante””. 


O canal de denúncia deve ser avaliado e mo- 
nitorado, por exemplo, identificando o nú- 
mero e os tipos de denúncias, bem como o 
que aconteceu com as denúncias recebidas. 


Prática D2.2 — Gerenciar as 
denúncias recebidas 


A organização deve tomar medidas para 
assegurar que os denunciantes se sintam 
confortáveis em denunciar, proporcionan- 
do a eles a oportunidade do anonimato, 
se preferirem. A facilidade em denunciar é 
ponto chave na eficiência e eficácia do ca- 
nal de denúncias. 


48 Relatórios Occupational fraud and abuse survey da ACFE e KPMG Fraud Survey. 


49 A Lei nº 13.460/2017 dispõe que órgãos e entidades da União, dos Estados, do Distrito Federal e dos Municípios devem ofe- 
recer meios para que os usuários de serviços públicos possam denunciar a prestação de serviços e a conduta de agentes públicos 


na prestação e fiscalização destes. 
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No caso do recebimento de uma denúncia 
anônima, a organização deve, preliminar- 
mente e em caráter sigiloso, adotar medi- 
das informais tendentes a apurar a veros- 
similhança dos fatos denunciados antes de 
instaurar um processo formal. Após essa 
apuração preliminar e sumária, caso a or- 
ganização se convença de que há uma ra- 
zoável probabilidade de serem verdade os 
fatos denunciados, deve então instaurar, de 
ofício, um processo formal de investigação, 
totalmente desvinculado da denúncia”? *!. 


No momento da denúncia, caso identifica- 
da, deve estar claro para o denunciante que 
eventualmente a sua identificação pode se 
tornar pública ao final da investigação”. 


As denúncias devem ser tratadas sigilosa- 
mente até decisão definitiva sobre a maté- 
ria. No caso de denúncias por servidores, 
a organização deve estabelecer políticas 
que proíbam retaliação a servidores que de- 
nunciarem de boa-fé”. O canal deve estar 


preparado para recepcionar inclusive de- 
núncias contra a alta administração. Nesse 
caso, elas devem ser reportadas a uma ins- 
tância superior, a exemplo de conselhos de 
administração ou órgãos colegiados*. 


Um único sistema de gerenciamento deve 
ser usado para registar as denúncias e seu 
acompanhamento, para que facilite a reso- 
lução pelo gestor, os testes dos auditores 
internos e a supervisão das instâncias su- 
periores. Esse sistema pode ser o mesmo 
ou integrado ao sistema de gestão de inci- 
dentes de fraude e corrupção mantido pela 
função antifraude e anticorrupção, quando 
esta existir. 


Condutas antiéticas também podem ser re- 
portadas pelo canal, pois podem resultar 
ou estar encobrindo fraude e corrupção. 
A organização deve normatizar que as de- 
núncias sejam, tempestivamente, encami- 
nhadas para o setor apropriado para a sua 
apuração, seja a área de pessoal, segurança 


50 O Supremo Tribunal Federal firmou jurisprudência de que “nada impede a deflagração da persecução penal pela chamada 
‘denúncia anônima’, desde que esta seja seguida de diligências realizadas para averiguar os fatos nela noticiados" (HC 99.490, 
relator: Ministro Joaquim Barbosa, DJe 31/1/2011). 


51 “Não há ilegalidade na instauração de processo administrativo com fundamento em denúncia anônima, por conta do poder-de- 
ver de autotutela imposto à Administração e, por via de consequência, ao administrador público" (MS 2006/0249998-2; relator: Mi- 
nistro Paulo Gallotti; 32 Seção; DJe 5/9/2008). 


52 Resolução SF nº 16/2006. 


53 A Lei de Acesso à Informação, Lei nº 12.527/2011, dispõe no art. 23, inciso VIII, que são passíveis de classificação as informa- 
ções cuja divulgação ou acesso irrestrito possam comprometer atividades de inteligência, bem como de investigação ou fiscaliza- 
ção em andamento, relacionadas com a prevenção e repressão de infrações. 


54 Lei nº 8443/1992, art. 55 8 2º. O denunciante não se sujeitará a qualquer sanção administrativa, cível ou penal, em decorrên- 
cia da denúncia, salvo em caso de comprovada má-fé. 


55 Lei nº 8.112/1990, art. 126-A. Nenhum servidor poderá ser responsabilizado civil, penal ou administrativamente por dar ciên- 
cia à autoridade superior ou, quando houver suspeita de envolvimento desta, a outra autoridade competente para apuração de in- 
formação concernente à prática de crimes ou improbidade de que tenha conhecimento, ainda que em decorrência do exercício de 
cargo, emprego ou função pública. 
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patrimonial, comissão de ética, departa- 
mento jurídico, almoxarifado, função anti- 
fraude e anticorrupção etc. 


A organização deve estabelecer e divulgar 
os procedimentos a serem adotados interna 
e externamente sobre as denúncias recebi- 
das, inclusive prevendo o encaminhamento 
para corregedoria e órgãos de controle, de 
fiscalização, de investigação e judiciais. 


Prática D2.3 - Análise e admissibilidade 
das denúncias 


Cada denúncia deve ser avaliada por uma 
pessoa preparada para isso. Nem todas 
as denúncias precisam ser investigadas. A 
denúncia deve trazer elementos que justi- 
fiquem movimentar a estrutura organizacio- 
nal. A investigação interna demanda mobi- 
lização de pessoal para integrar equipe de 
investigação, espaço físico para os traba- 
lhos, paralisação de pessoal para entrevis- 
tas, e para que isso seja justificado é neces- 
sário um conjunto pertinente de indícios. A 
denúncia bem realizada traz, usualmente, 
elementos sobre sete quesitos: 


= O quê: o que está sendo fraudado 
e corrompido? 


= Quem: quem é ou são os fraudadores 
e corruptos? 


= Por que: por qual motivo se está re- 
alizando a fraude e corrupção, qual o 
seu propósito? 


= Como: qual a forma de atuação dos 
fraudadores e corruptos, como eles 
executam a fraude? 


= Quanto: quanto em valor ou bens está 
sendo desviado? 


= Quando: em qual data, por qual perío- 
do ou desde quando vem sendo realiza- 
da a fraude e corrupção? 


= Onde: unidade da organização ou siste- 
ma de informática onde foi realizada a 
fraude e corrupção? 


Nesse sentido, é importante disponibilizar 
um formulário eletrônico estruturado ou 
com orientações, de forma a induzir o de- 
nunciante a reportar o máximo de informa- 
ções relevantes possíveis. Se o formulário 
for apenas um campo livre para inserção 
de texto, o denunciante fica à deriva para 
narrar o que quiser, o que não é interessan- 
te uma vez que o denunciante, em geral, 
não tem experiência do que precisa ser re- 
latado. É provável que ele dê mais ênfase 
em sua indignação com a fraude e corrup- 
ção do que traga elementos fáticos para 
uma avaliação. 


Naturalmente, pode ser que, mesmo induzi- 
do, o denunciante desconheça algum que- 
sito. Isso não é um problema, pois a partir 
dos outros quesitos a função antifraude e 
anticorrupção, corregedoria ou quem fará 
a admissibilidade, pode identificar inter- 
namente as outras respostas. Mas por ga- 
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rantia, caso o contato com o denunciante 
esteja disponível, vale a pena questioná-lo 
sobre alguma informação faltante ou que 
não esteja clara. 


A análise da denúncia deve concluir por sua 
admissão quando há verossimilhança. Isso 
significa que os elementos trazidos fazem 
sentido e estão de acordo com a realida- 
de já conhecida pela organização, ou seja, 
é plausível que esteja ocorrendo o que foi 
denunciado. Apesar disso, o avaliador não 
deve se fechar a denúncias improváveis, vis- 
to que o fraudador ou o corrupto pode exe- 
cutar a fraude e corrupção pouco prováveis 
justamente para evitar ser detectado. 


D3 - AUDITORIA INTERNA 


A responsabilidade primária pela identifi- 
cação de fraude e corrupção numa organi- 
zação reside nos responsáveis pela gestão. 
A auditoria interna auxilia a organização no 
tocante à avaliação da eficácia e adequa- 
ção da política e do plano de combate a 
fraude e corrupção, da gestão de risco de 
fraude e corrupção, dos respectivos con- 
troles internos e da gestão da ética e da 
integridade organizacional, por meio de 
aconselhamento e de propostas de aper- 
feiçoamento, sendo a sua função primor- 
dial avaliar se os controles internos imple- 
mentados pelo gestor são adequados para 
mitigar os riscos de fraude e corrupção 
identificados. Pode, também, auxiliar o 


gestor a identificar e avaliar os riscos en- 
frentados por sua organização**. 


Assim, a importância que uma organização 
atribui às atividades de auditoria interna é 
uma indicação do compromisso da alta ad- 
ministração com uma política e um plano de 
combate a fraude, com uma gestão de ris- 
cos, com a ética, com a integridade e com 
controles internos de fraude e corrupção 
eficientes e eficazes. 


Eventualmente, a auditoria interna pode 
identificar fraude e corrupção no curso de 
uma auditoria ou contribuir com seu conhe- 
cimento técnico para subsidiar uma investi- 
gação. Em organizações com alto risco de 
fraude e corrupção, a auditoria interna tem 
sido demandada a detectar indícios ou in- 
vestigar ocorrências de tais crimes. 


Investigações, usualmente, utilizam como 
base as falhas de controle e os indícios de 
fraude e corrupção identificados nas avalia- 
ções. Auditorias internas com papel com- 
plementar de investigação devem possuir 
suficientes competências sobre esquemas 
de fraude e corrupção, técnicas de investi- 
gação, medidas corretivas e punitivas, e co- 
operação e parceria com órgãos de contro- 
le, fiscalização, investigação e judiciais. 


Grandes organizações usualmente possuem 
unidades antifraude e anticorrupção com 
atribuição de investigação. Nesse caso, par- 


56 Auditoria interna: atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar 
as operações de uma organização. Ela auxilia a organização a realizar seus objetivos a partir de uma abordagem sistemática e dis- 
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cerias podem ser formadas entre essa uni- 
dade e a auditoria interna, com o objetivo 
de melhor investigar os eventuais casos. 


Na condução de auditorias, a responsa- 
bilidade do auditor interno no tocante à 
detecção de fraude e corrupção é ter sufi- 
ciente conhecimento sobre: os esquemas 
de fraude e corrupção, para ser capaz de 
identificar indícios dessas ocorrências; a 
existência de controles fracos que podem 
permitir a ocorrência de fraude e corrup- 
ção; testes adicionais direcionados para 
a identificação de outros indicadores de 
fraude e corrupção; avaliação de indica- 
dores de fraude e corrupção que podem 
ter ocorrido e decidir se alguma ação adi- 
cional é necessária ou se uma investiga- 
ção deveria ser recomendada; notificação 
das autoridades apropriadas da organiza- 
ção, se existir suficiente indício para reco- 
mendar uma investigação. 


As avaliações realizadas pela auditoria in- 
terna acerca da adequação e suficiência dos 
controles internos de fraude e corrupção 
são fundamentais para a identificação de in- 
dícios e até mesmo de evidências de fraude 
e corrupção, e servem de base para investi- 
gações internas ou externas. 


A organização deve proporcionar aos audi- 
tores internos oportunidade de capacitação 
na teoria e na prática de combate a fraude e 
corrupção, para que possam desempenhar 
o papel que é esperado deles. 


Prática D3.1 — Avaliar a política, o plano, 
a gestão de risco de fraude e corrupção e 
os controles internos da organização 


Deve-se realizar revisão periódica da im- 
plementação da política e do plano de 
gestão de risco de fraude e corrupção da 
organização, por meio da aplicação de 
procedimentos de auditoria que permi- 
tam testar e aferir a adequabilidade e a 
conformidade dos controles internos es- 
tabelecidos para prevenir e detectar pos- 
síveis fraudes e corrupções”. 


A responsabilidade por gerir o risco de 
fraude e corrupção é do gestor, em con- 
junto com a unidade de gestão de risco e a 
função antifraude e anticorrupção, quando 
existentes. No entanto, a auditoria interna 
pode dar recomendações quanto aos riscos 
identificados, sua probabilidade e impacto e 
quanto à adequação dos controles internos, 
o que implica que os auditores internos têm 
suficiente conhecimento sobre o negócio 


ciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de 
governança. As auditorias internas no âmbito da administração pública se constituem na terceira linha ou camada de defesa das 
organizações, uma vez que são responsáveis por proceder à avaliação da operacionalização dos controles internos da gestão (pri- 
meira linha ou camada de defesa, executada por todos os níveis de gestão dentro da organização) e da supervisão dos controles 
internos (segunda linha ou camada de defesa, executada por instâncias específicas, como comitês de risco e controles internos). 
Compete às auditorias internas oferecer avaliações e assessoramento às organizações públicas, destinadas ao aprimoramento dos 
controles internos, de forma que controles mais eficientes e eficazes mitiguem os principais riscos de que os órgãos e entidades 


não alcancem seus objetivos (IN MP/CGU 01/2016). 


57 Ver exemplo no Anexo 12: quesitos para avaliação do comprometimento da organização no combate a fraude e corrupção. 
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para avaliar o risco de fraude e corrupção?. 


Considerando a gestão de risco no plano de 
auditoria, a auditoria interna pode ajudar a 
detectar fraude e corrupção, mesmo em ava- 
liações de adequação de controles. Um bom 
ponto de partida é o uso de sinais de alerta” 
adequados para o escopo da auditoria. 


Conforme comentado na Prática P2.6 — Im- 
plantar função antifraude e anticorrupção na 
organização, tanto a função antifraude e an- 
ticorrupção quanto a auditoria interna pro- 
movem avaliações acerca da implementação 
de controles de fraude e corrupção na orga- 
nização, porém a função antifraude e corrup- 
ção faz parte da segunda linha de defesa e 
reporta-se à alta administração, e a auditoria 
interna faz parte da terceira linha de defe- 
sa, reportando-se tanto à alta administração 
quanto aos órgãos responsáveis pela gover- 
nança, como conselhos de administração e 
de auditoria, permitindo, nesse último caso, 
maior independência para as suas avaliações. 


A auditoria interna faz parte da terceira linha 
de defesa, reportando-se tanto à alta admi- 
nistração quanto aos órgãos responsáveis 
pela governança, como conselhos de admi- 
nistração e de auditoria, permitindo, nesse 


último caso, maior independência para as 
suas avaliações. 


Prática D3.2 — Avaliar a cultura e gestão 
da ética e da integridade 


A auditoria interna deve, periodicamente, 
avaliar se a cultura e a gestão da ética e 
integridade na organização estão sendo 
monitoradas pelo gestor, especialmente 
nos seguintes aspectos: 


= atualização dos códigos de ética e conduta; 


= comunicação e divulgação regular e efi- 
ciente dos valores e princípios; 


= envolvimento dos servidores, alta ad- 
ministração, membros dos conselhos, 
beneficiários de programas, usuários 
de serviços públicos e fornecedores, e 
seu compromisso em seguir os precei- 
tos estabelecidos; 


= atuação da comissão de ética em rece- 
ber manifestações e adotar providências; 


=" apuração e sanção dos desvios éticos e 
de integridade. 


58 Os auditores internos devem possuir conhecimento suficiente para avaliar o risco de fraude e a maneira com o qual é gerencia- 
do pela organização, porém, não se espera que possuam a especialização de uma pessoa cuja principal responsabilidade seja de- 
tectar e investigar fraudes, segundo a norma 1210.A2 do Institute of Internal Auditors. 

A atividade de auditoria interna deve avaliar o potencial de ocorrência de fraude e como a organização gerencia o risco de fraude, 


segundo a norma 2120,A2 do Institute of Internal Auditors. 


Os auditores internos devem considerar a probabilidade de erros significativos, fraudes, não conformidades e outras exposições ao 
desenvolver os objetivos do trabalho, segundo a norma 2210.A2 do Institute of Internal Auditors. 


59 Sinais de alerta são um conjunto de circunstâncias incomuns por natureza ou destoantes da atividade normal, que denunciam 


que algo pode precisar de investigação (ISSAI 5530). 
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No contexto de crises financeiras, 
há interesse crescente na 
inovação, na qualidade da gestão, 
na necessidade de estimular a 
performance organizacional, na 
eficiência e na boa governança. A 
procura por ligações causais entre 
ética e resultado organizacional 
está também influenciando o 
debate acadêmico e profissional. 
Se uma inequívoca conexão causal 
pode ser estabelecida entre 
resultado organizacional e ética 
e integridade, então isso vai ter 
significante e positiva implicação 
na justificativa de se auditar ética. 
(Prof. Christoph Demmke). 


Prática D3.3 — Planejar e realizar auditorias 
e investigações de fraude e corrupção 


O planejamento de auditorias consiste em 
elaborar um plano anual de atividades para 
a auditoria interna. Nesse plano, devem-se 
incluir auditorias para avaliação de contro- 
les e da execução das atividades da orga- 
nização, delimitando o objetivo e o escopo, 
definindo a estratégia metodológica a ser 
adotada e estimando os recursos, custos e 
prazos necessários à sua realização. 


A realização de auditorias para avaliação 
de controles de fraude e corrupção requer 
que os auditores internos identifiquem e 
avaliem o risco de fraude e corrupção e re- 
únam evidências suficientes e adequadas 
para respaldar os achados e as conclusões 
da auditoria. 


As auditorias devem ser realizadas para ava- 
liar se os controles do gestor para mitigar 
riscos de fraude e corrupção são adequa- 
dos e suficientes. O propósito da auditoria 
não é identificar casos de fraude e corrup- 
ção, mas o auditor deve estar preparado 
caso isso ocorra. Quando confirmado um 
indício de fraude ou corrupção, os audito- 
res devem tomar medidas para garantir que 
os achados de auditoria sejam adequada- 
mente respondidos, de acordo com as suas 
competências e circunstâncias específicas. 


Um entendimento da área e das atividades 
e operações auditadas propicia ao auditor 
identificar potenciais áreas de alto risco, 
suscetíveis a fraude e corrupção, e elaborar 
procedimentos de auditoria compatíveis a 
esses riscos. Algumas das áreas de alto risco 
mais comuns são: aquisições, receitas, patri- 
mônio, pessoal e transferências. 


As investigações são planejadas e realiza- 
das para apurar algum indício específico de 
fraude e corrupção. Podem ter origem no 
canal de denúncia, detectado por meio de 
análise de dados, demanda externa, pro- 
vocada por uma auditoria, ou alguma ou- 
tra origem. O propósito da investigação é 
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confirmar os indícios, ou não, identificando 
responsabilidades e apurando o prejuízo. 


As normas internas da organização devem 
definir a responsabilidade pelas investiga- 
ções. A auditoria interna pode conduzir 
ou participar da investigação se esses nor- 
mativos permitirem, mas é preferível que a 
função antifraude e anticorrupção realize as 
investigações (THE INSTITUTE OF INTER- 
NAL AUDITORS, 2009). 


Após a conclusão das auditorias e investi- 
gações, com o objetivo de verificar as pro- 
vidências adotadas e aferir seus efeitos, 
faz-se necessário acompanhar e monitorar 
o cumprimento das recomendações da au- 
ditoria, das ações de reparação de perdas 
e/ou punitivas propostas, bem como dos 
resultados delas advindos. 


Prática D3.4 — Estabelecer uma sistemática 
de divulgação de relatórios que tratam de 
fraude e corrupção 


Deve-se definir uma sistemática formal 
para divulgação de relatórios que tratam 
de assuntos sensíveis como a fraude e cor- 
rupção, com o objetivo de que as infor- 
mações apuradas sejam adequadamente 
ajustadas e orientadas para os destinatá- 
rios apropriados, como a polícia judiciá- 
ria, o Ministério Público, os Tribunais de 
Contas e as Controladorias Gerais. As 
devidas cautelas devem ser adotadas na 
elaboração e encaminhamento desses re- 
latórios, a fim de preservar a integridade 
das evidências obtidas, garantir a confi- 
dencialidade dos dados e evitar expor os 
auditores, investigadores e investigados a 
uma situação de fragilidade. 


60 O art. 18 do Decreto nº 9.203/2018 dispõe que “A auditoria interna governamental deverá adicionar valor e melhorar as ope- 
rações das organizações para o alcance de seus objetivos, mediante a abordagem sistemática e disciplinada para avaliar e melho- 
rar a eficácia dos processos de gerenciamento de riscos, dos controles e da governança, por meio da: IIl - promoção à prevenção, 
à detecção e à investigação de fraudes praticadas por agentes públicos ou privados na utilização de recursos públicos federais”. 
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INVESTIGAÇÃO 


investigação tratada nesse meca- 

nismo não é a mesma realizada pela 

polícia judiciária (polícia civil e polí- 
cia federal) ou pelo Ministério Público. Nos 
referimos aqui à atividade administrativa 
promovida pela própria organização, com 
o objetivo de buscar informações relevan- 
tes para esclarecer um incidente especi- 
fico de fraude e corrupção. Nos normati- 
vos legais e na prática das organizações, 
a investigação é comumente chamada de 
“investigação preliminar"*!, “sindicância 
investigativa" ou simplesmente “apura- 
ção”, mas para fins deste referencial será 
chamada apenas de “investigação”. 


A investigação refere-se a procedimento 
preliminar sumário, instaurado com o obje- 
tivo de investigar irregularidades cometidas 
no emprego, cargo ou função ocupada e 
destinado a elucidar possível cometimento 


de infração disciplinar cuja apuração seja de 
interesse superior, ou segundo decisão de 
autoridade da organização. 


Por se tratar de procedimento de cunho 
meramente investigativo, que não podem 
dar ensejo à aplicação de penalidades dis- 
ciplinares e são realizados a título de con- 
vencimento primário da organização acerca 
da ocorrência ou não de determinada irre- 
gularidade funcional e de sua autoria, as 
investigações possuem as características de 
serem sigilosas, meramente investigativas, 
não punitivas e prescindem a observância 
do contraditório e da ampla defesa. Pode- 
-se considerar três tipos de investigação: 


=" Sindicância investigativa, chamada de 
preparatória ou inquisitorial’: trata-se 
de um procedimento preliminar sumá- 
rio, instaurado com o fim de investigar 


61 Pelo inciso | do art. 4º da Portaria CGU nº 335/2006 - “investigação preliminar: procedimento sigiloso, instaurado pelo Órgão 
Central e pelas unidades setoriais, com objetivo de coletar elementos para verificar o cabimento da instauração de sindicância ou 


processo administrativo disciplinar, 


62 Não confundir com a sindicância prevista na Lei nº 8.112/1990 que, por ser medida punitiva, prevê ampla defesa. Será trata- 


da no mecanismo de correção. 


63 Manual de processo administrativo disciplinar - CGU. Não se encontra elencado expressamente na Lei nº 8112/90, cuja exis- 
tência formal está prevista, além do disposto na doutrina e jurisprudência, no inciso Il do art. 4º da Portaria CGU nº 335/2006. 
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irregularidade disciplinar, que serve de 
alicerce ao processo administrativo dis- 
ciplinar. Não há prescrição de um rito 
próprio e preestabelecido em todos os 
detalhes para a sua instauração, poden- 
do adotar, extensivamente, no que for 
cabível, rito e prazos da sindicância acu- 
satória. Pode ser instaurada por qual- 
quer autoridade administrativa. 


Sindicância patrimonial: desempenha 
papel de destaque na apuração das in- 
frações administrativas potencialmente 
causadoras de enriquecimento ilícito do 
agente público, na medida em que, me- 
diante análise da evolução patrimonial 
do agente, poderão ser extraídos sufi- 
cientes indícios de incompatibilidade 
patrimonial capazes de instruir a defla- 
gração do processo administrativo-dis- 
ciplinar e na propositura da ação de im- 
probidade administrativa. 


Com vistas à colheita dessas informações, 
a comissão investigante poderá se valer 
de diversas fontes de consulta, como 
cartórios de registros imobiliários, cartó- 
rios de registros de títulos e documentos, 
departamentos de trânsito, juntas comer- 
ciais, capitania de portos, entre outros, in- 
clusive de outros entes da federação. 


Poderá, também, solicitar o afastamento 
dos sigilos fiscal e bancário do servidor 


investigado. Caberá à comissão solicitar 
à procuradoria integrante da Advocacia- 
-Geral da União competente o ajuiza- 
mento de processo de afastamento de 
sigilo bancário e fiscal perante o órgão 
judiciário, devendo, para esse fim, de- 
monstrar a necessidade e a relevância 
da obtenção dessas informações para a 
completa elucidação dos fatos sob apu- 
ração no bojo da sindicância patrimonial. 


Sindicância celetista: trata-se de um pro- 
cedimento de apuração preliminar, apli- 
cável para empregados de empresas 
estatais regidos pelo regime celetista, 
destinado a elucidar possível cometimen- 
to de infração disciplinar (BRASIL, 2015c). 


Essa sindicância meramente investiga- 
tiva constitui-se em relevante instru- 
mento informativo, capaz, inclusive, de 
apresentar à autoridade competente 
indícios de materialidade e autoria da 
possível infração disciplinar. 


Portanto, é aconselhável que, antes 
de aplicar a penalidade, a empresa 
faça uma sindicância, tomando por es- 
crito as informações dos empregados 
envolvidos e das testemunhas. 


Ressalte-se que a obrigatoriedade de 
praticar tal procedimento está condicio- 
nada à expressa previsão em normativo 


64 Manual de processo administrativo disciplinar — CGU. Tipificada no inciso VII do art. 9º da Lei de improbidade administrativa (Lei 
nº 8.429/92), possuindo previsão normativa no Decreto nº 5.483/2005, inciso IV do art. 132 e art. 143 da Lei nº 8112/90 e na Portaria 
CGU nº 335/2006. 
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da empresa ou acordo/convenção cole- 
tiva de trabalho. 


* É o regimento interno da empresa que 
deve estabelecer quem é competente 
para dar início a esse procedimento dis- 
ciplinar. Não havendo previsão expressa, 
os dirigentes da empresa, ou seja, aque- 
les que exercem o poder empregatício, 
contratando e demitindo funcionários, 
têm competência para instaurar sindi- 
cância em face de seus subordinados. 


Em resumo, o propósito primário da inves- 
tigação é coletar informações para subsi- 
diar qualquer ação subsequente, seja na 
esfera administrativa, civil e penal. Entre- 
tanto, outros efeitos decorrem da realiza- 
ção de investigações, tais como cessação 
da fraude e corrupção em andamento ou 
dissuasão de sua prática, além de reforçar 
controles internos. O mecanismo “investi- 
gação” é composto de três componentes: 
pré-investigação, execução da investigação 
e pós-investigação. 


Mecanismo - Investigação 


Componente l1 — Pré-investigação 


Prática 11.1 — Desenvolver plano de resposta à fraude e corrupção 


Prática 11.2 — Realizar avaliação inicial do incidente 


Prática 11.3 — Estabelecer equipe de investigação 


Prática 11.4 — Estabelecer parcerias com outras organizações 


Componente 12 — Execução da investigação 


Prática 12.1 - Desenvolver plano de investigação 


Prática 12.2 — Estabelecer a confidencialidade da investigação 


Prática 12.3 — Investigar e responder os atos de fraude e corrupção 


Prática 12.4 — Realizar entrevistas eficazes 


Prática 12.5 — Examinar documentos 


Componente l3 — Pós-investigação 


Prática 13.1 — Revisar controles internos após a ocorrência de uma fraude e corrupção 
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11 - PRÉ-INVESTIGAÇÃO 


A organização deve considerar que, inevi- 
tavelmente, poderá ser vítima de fraude e 
corrupção a qualquer momento. Por isso, 
não se deve esperar que uma fraude e 
corrupção ou indício delas ocorra para es- 
truturar uma resposta a ela. Essa estrutura 
deve estar pronta, requerendo apenas seu 
acionamento quando necessário. Tentar es- 
truturar respostas em tempo de crise, com 
pressões políticas, da mídia e da sociedade, 
abre espaço para atropelos e futuras im- 
pugnações por erros cometidos. 


A principal medida é elaborar o plano de 
resposta à fraude e corrupção. A partir dele, 
qualquer investigação pode ser estrutura- 
da a partir da necessidade de apuração de 
ocorrências em potencial. 


Prática 11.1 — Desenvolver plano de 
resposta à fraude e corrupção 


Consiste em estabelecer e manter um plano 
de resposta para quando uma possível frau- 
de e corrupção for detectada. A existência 
desse plano é importante para assegurar 
que a organização responda à suspeita de 
uma fraude e corrupção eficientemente, o 
que significa de forma apropriada e tempes- 
tiva. O plano inclui as ações que a organiza- 
ção tomará quando a suspeita surgir. Como 
cada fraude e corrupção pode ser diferente, 
não deve constar do plano a maneira como 
a investigação específica deve ser conduzi- 
da, mas sim como ajudar a organização a 


gerenciar a sua resposta, minimizar os riscos 
e maximizar o potencial de sucesso. 


O plano permite que a gestão respon- 
da à fraude e corrupção denunciada ou 
detectada de forma consistente e abran- 
gente. A existência do plano também 
contribui para a prevenção, pois passa 
a mensagem de que a gestão leva a sé- 
rio o combate à ocorrência de fraude ou 
corrupção. O plano deve guiar as ações 
necessárias quando a potencial fraude 
ou corrupção é reportada ou identifica- 
da. O plano de resposta deve ser o mais 
simples possível para que seja facilmen- 
te entendido e gerido em situações de 
pressão e urgência, contemplando: 


= protocolo de denúncia: uma vez que 
uma fraude e corrupção é reportada 
no canal de denúncias, deve haver um 
procedimento que notifique as partes 
interessadas e, dependendo da nature- 
za e severidade das alegações, dispare 
ações que escalem a notificação para as 
instâncias apropriadas; 


= instalação de equipe de resposta: em 
geral, os incidentes devem ser exami- 
nados pelo gestor da atividade, mas 
fatores de risco podem fazer que uma 
equipe de resposta independente da 
atividade em que ocorreu a suspeita 
de fraude e corrupção seja necessá- 
ria e uma investigação seja instaurada. 
Esses fatores podem ser a credibilida- 
de da alegação, tipo de incidente, sua 
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severidade e potencial negativo, a pro- 
babilidade de judicialização e histórico 
de eventos similares. A equipe deve ser 
composta por pessoas com competên- 
cia para examinar a natureza da fraude 
e corrupção; 


resposta tempestiva: o tempo é crítico 
para a resposta ao incidente. O gestor 
e a equipe de resposta devem estar 
preparados para lidar com inúmeras 
questões, em pouco tempo e sob con- 
dições adversas. A equipe de resposta 
deve responder as seguintes questões: 
É necessária uma investigação? Requer 
apoio da auditoria interna, da função 
antifraude e anticorrupção ou da corre- 
gedoria? A polícia e/ou órgãos regula- 
dores precisam ser imediatamente en- 
volvidos? É necessário aconselhamento 
jurídico? Há necessidade de apoio de 
especialistas externos? Qual estrutu- 
ra física de apoio é necessária? Qual a 
estratégia adequada de comunicação 
com a mídia? 


endereçar problemas imediatos: emitir 
ordem aos servidores para sustar qual- 
quer destruição de documentos físicos 
e eletrônicos, para garantir a sua pre- 
servação. Por documento entende-se 
contratos, faturas, correspondência, re- 
latórios, apresentações, e-mails, mensa- 
gens de telefone, ofícios, registros mé- 
dicos etc. Para documentos eletrônicos, 
a área de TI deve ser contatada para 
providenciar essa sustação; 
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=" identificação de quem deve ser infor- 
mado: dependendo do incidente, vários 
setores podem ter interesse na fraude 
e corrupção e devem ser informados. 
Por exemplo, o setor jurídico, o setor 
de recursos humanos, a corregedoria, 
a auditoria interna, função antifraude 
e anticorrupção, o setor de segurança 
patrimonial, o setor responsável pela 
gestão de risco etc. Entretanto, a infor- 
mação do incidente deve ser comparti- 
lhada apenas com as partes afetadas. 


Prática 11.2 — Realizar avaliação inicial 
do incidente 


A avaliação inicial conduzida pelo gestor e a 
equipe de resposta deve considerar se, a par- 
tir das informações iniciais disponíveis, deve- 
-se ou não iniciar uma investigação. A avalia- 
ção deve ser rápida, e a organização deve ter 
em vista um prazo que julgue compatível. 


Para essa avaliação deve ser conhecido o 
contexto (a maneira e a data que se conhe- 
ceu a suspeição, as áreas suspeitas, a fonte 
da informação) e a natureza da denúncia 
(é verossímil?; quem é o sujeito da denún- 
cia e qual a sua relação com a organiza- 
ção?; quando ocorreu a conduta alegada 
e como?; quão grave é a denúncia?; qual a 
hierarquia dos servidores envolvidos, é pos- 
sível a denúncia ser maior do que o espera- 
do?; pode ter impacto para os clientes dos 
serviços prestados?; quem detém informa- 
ção para suportar ou refutar a denúncia?; há 
terceiros se beneficiando do denunciado?). 


Pode-se entrar em contato com o denun- 
ciante, se seus dados estiverem disponíveis, 
para levantar mais informações, por exem- 
plo: como ficou sabendo da ocorrência, se 
há outras testemunhas, a sua motivação etc. 
A partir da entrevista pode-se avaliar a cre- 
dibilidade da denúncia. 


A decisão por investigar ou não deve ser 
formalizada pela equipe de resposta, con- 
tendo a motivação da decisão. 


Prática 11.3 — Estabelecer equipe 
de investigação 


Uma vez definida a necessidade de investi- 
gação, uma equipe deve ser montada con- 
forme as competências necessárias para a 
compreensão dos indícios, inclusive com 
especialistas externos, se necessário. Para 
o sucesso da investigação, as característi- 
cas dos membros devem ser favoráveis ao 
trabalho em equipe. Deve-se considerar, 
também, o tamanho da equipe, se há con- 
flito de interesse entre membros internos e 
externos e a necessidade de independência 
dos membros. Os membros devem firmar 
termo de confidencialidade para assegurar 
o sigilo da investigação e respaldar contra- 
pressões por informação de algum superior 
imediato de membro da equipe ou de su- 
periores em geral que não fazem parte da 
equipe. À equipe de investigação devem 
ser delegados os poderes para examinar, 
requerer e copiar documentos físicos e ele- 
trônicos e acessar instalações da organiza- 
ção que estejam no âmbito da investigação. 


Um líder deve ser escolhido para a equi- 
pe. Esse líder deve ter experiência em in- 
vestigação, ser independente da atividade 
afetada, ter autoridade suficiente para re- 
crutar novos recursos, acesso à alta admi- 
nistração e preferencialmente hierarquia 
superior aos investigados. 


Para a seleção dos integrantes da equipe 
de investigação, a organização deve manter 
um grupo de servidores previamente capa- 
citados na condução de investigações, para 
que estejam disponíveis para integrá-las se 
necessário. Esse grupo de servidores geral- 
mente é oriundo da função antifraude e an- 
ticorrupção, nos casos da sua existência, da 
auditoria interna, ou da corregedoria. 


Prática 11.4 — Estabelecer parcerias 
com outras organizações 


A organização deve procurar estabele- 
cer parcerias com outras organizações, 
com o objetivo de obter subsídios para 
garantir que a investigação da fraude e 
corrupção seja realizada com as melhores 
condições possíveis. 


O estabelecimento de parcerias colaborati- 
vas favorece a implementação mais efetiva 
de estratégias de prevenção, detecção, in- 
vestigação e correção de fraude e corrupção. 


A parceria deve envolver órgãos congêne- 
res, Tribunais de Contas, Ministério Público, 
polícia judiciária, associações empresariais, 
entidades de combate a fraude e corrup- 
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ção, fornecedores e prestadores de serviço, 
entre outros, com os quais se pode compar- 
tilhar informações sobre riscos e esquemas 
de fraude e corrupção, boas práticas ou li- 
ções aprendidas relacionadas ao tema. 


Fraudadores e corruptos podem estar 
agindo em várias organizações simulta- 
neamente, por isso a parceria com outras 
organizações permite ganho de escala, a 
identificação de riscos comuns, troca de ex- 
periências e informações, e maior possibili- 
dade de obtenção de evidências. 


12 - EXECUÇÃO DA INVESTIGAÇÃO 


A execução da investigação significa ir a 
campo para verificar a ocorrência da frau- 
de e corrupção, sua extensão, identificar 
responsáveis, determinar prejuízos e coletar 
evidências por meio de técnicas investiga- 
tivas. 


Prática 12.1 — Desenvolver plano 
de investigação 


A equipe de investigação deve, em conjun- 
to, elaborar um plano de investigação. Cada 
caso deve ter um plano específico, mas em 
linhas gerais o plano deve conter: 


= revisão das informações existentes so- 
bre o caso para nivelamento de conhe- 
cimento entre os membros; 


= definição dos objetivos da investiga- 
ção: apesar de os objetivos em geral 
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servirem para determinar se houve a 
fraude ou corrupção e quem a reali- 
zou, a investigação pode incluir outros 
objetivos, como prevenir outras per- 
das, assegurar evidências para ações 
disciplinares, administrativas, civis e 
penais, recuperar perdas, ou promover 
a cultura antifraude e anticorrupção, 
pelo exemplo; 


definição de quem da organização, em 
geral da alta administração, deve ser 
mantido informado da evolução da in- 
vestigação pela equipe; 


definição do escopo da investigação: 
com base nos objetivos definidos, deter- 
minar o nível de profundidade e abran- 
gência da investigação, determinar se o 
limite é por assunto, por departamento 
ou territorial; por exemplo, determinar 
se há restrições (tempo, recurso, legal 
ou operacional), os níveis hierárquicos a 
serem investigados, e se o fato é isola- 
do ou difuso; 


Determinar um cronograma da investi- 
gação, com início e fim das atividades, 
os papéis de cada membro nas ativi- 
dades e os produtos esperados. Além 
do tempo, o cronograma pode levar 
em consideração a área funcional e 
a atividade dos membros no sequen- 
ciamento das atividades. Esse crono- 
grama deve ser ajustado ao longo da 
investigação, sempre que fatos novos 
assim requererem. 


Prática 12.2 — Estabelecer a 
confidencialidade da investigação 


A investigação de fraude e corrupção deve 
ser orientada pelo sigilo. Se isso for negli- 
genciado e detalhes se tornarem públicos, a 
investigação pode ser comprometida. Além 
disso, se detalhes da investigação são va- 
zados, os servidores ficarão relutantes em 
realizar futuras denúncias; ademais, suspei- 
tas que se provarem infundadas também 
podem prejudicar a imagem de pessoas 
investigadas. Além disso, se o denunciante 
for revelado poderá sofrer retaliação. 


O gestor dos servidores que serão inves- 
tigados deve ser avisado que suspeitos e 
testemunhas podem ficar ausentes de seus 
postos durante a investigação, prestando 
informações. A quantidade de informação 
a ser compartilhada com o gestor depen- 
derá das circunstâncias. Não se deve alertar 
todos os servidores da organização de que 
uma investigação será realizada, nem os 
seus propósitos. 


O principal objetivo é evitar que o suspei- 
to fique sabendo da investigação. Se isso 
acontecer, vários eventos adversos podem 
ocorrer e prejudicar o andamento da inves- 
tigação. Por exemplo, o fraudador ou cor- 
rupto pode destruir ou alterar provas. Para 
evitar isso é bom tomar medidas, como co- 
nhecer a pessoa investigada e a que tipo 
de informações ela tem acesso, investigar 
fora do horário do expediente, agir rápido 
e discretamente no horário do expediente, 


reforçar as consequências de um vazamen- 
to e tomar declaração de confidencialidade 
dos entrevistados. 


Para as reuniões da equipe e guarda de 
documentos eletrônicos e físicos coletados 
pela investigação, deve ser providencia- 
da uma sala com acesso restrito apenas à 
equipe. Os documentos eletrônicos devem 
ser criptografados, e os físicos, tarjados de 
confidencial. Não se deve comentar sobre a 
investigação em público. 


Prática 12.3 — Investigar e responder os 
atos de fraude e corrupção 


Requer que os incidentes selecionados 
após avaliação inicial sejam investigados 
em tempo hábil, os responsáveis, punidos, 
e as perdas, recuperadas. É importante a or- 
ganização assegurar que as mesmas regras 
serão aplicadas a todos os níveis, incluindo 
a alta administração. 


Os responsáveis pela investigação de frau- 
de e corrupção devem assegurar que existe 
uma base suficiente e consistente para pro- 
por as ações corretivas: 


= ação disciplinar — pode resultar na resci- 
são, demissão, suspensão, advertência 
ou aviso, bem como recomendação de 
medidas de gestão de pessoal ou de ge- 
rência administrativa; 


=" ação administrativa — a organização 
pode decidir por prosseguir a sua pró- 
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pria ação contra os autores para re- 
cuperar as perdas sofridas, por meio, 
por exemplo, da instauração de toma- 
da de contas especial. Sanções podem 
ser aplicadas, tais como a multa, inabi- 
litação para cargo público, declaração 
de inidoneidade para licitar ou contra- 
tar com a administração pública, de- 
claração de inabilitação para assumir 
cargo público. 


= ação judicial — a organização pode re- 
meter o caso para a aplicação da lei. É 
desejável que um membro da alta admi- 
nistração, tal como o consultor jurídico, 
autorize o encaminhamento do proces- 
so para a instância judicial. 


Releva destacar que 
na execução das ações 
corretivas deve-se considerar 
não só o valor do custo 
financeiro de recuperação, 
como também o valor de 
dissuasão e de percepção 
da integridade e reputação 
da organização. 


Prática 12.4 — Realizar entrevistas eficazes 


Durante a investigação, provavelmente será 
necessário ouvir pessoas para esclarecer os 
fatos. O investigador deve estar preparado 
para conduzir entrevistas tanto com suspei- 
tos quanto com testemunhas. As entrevistas 
devem ser sequenciadas a partir das pesso- 
as mais externas aos fatos, em geral teste- 
munhas, até o principal suspeito, e das mais 
cooperativas às mais relutantes. A execução 
de uma entrevista envolve cinco etapas. 


= Planejamento e preparação 


O planejamento envolve pensar todas as 
etapas da entrevista, para garantir que o 
entrevistador permaneça no controle, na 
direção certa e no tempo disponível. O en- 
trevistador deve compreender o objetivo 
da entrevista e as circunstâncias prévias do 
incidente investigado. O bom entrevistador 
deve ter forte habilidade interpessoal e em- 
patia e deve evitar ostentar autoridade. 


No planejamento, além da definição do pro- 
pósito da entrevista, o local da entrevista deve 
ser escolhido e preparado. O espaço físico da 
entrevista envolve o local, a disposição dos as- 
sentos e questões logísticas, como infraestru- 
tura para apresentações, se necessário. 


O bom entrevistador deve adotar postura 
investigativa, conduzindo a entrevista com 
objetividade, evitando fazer perguntas de 


65 Baseado no modelo Preparation and Planning, Engage and Explain, Account, Clarify and Challenge, Closure and Evaluation (PEACE). 
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maneira acusatória e induzindo o entrevista- 
do a fornecer a informação voluntariamente. 


-= Engajamento e explicação 


A fase de abertura é crucial para o sucesso 
de uma entrevista. Se o entrevistador puder 
envolver o entrevistado em uma conversa 
amistosa e descontraída, isso pode criar um 
clima favorável para que toda a entrevista 
transcorra relaxada. Cortesia, cordialidade e 
compreensão devem ser empregados pelo 
entrevistador e podem fazer toda a diferen- 
ça no resultado da entrevista. Entrevistado- 
res de sucesso investem algum tempo para 
descobrir o que motiva os entrevistados e, 
com isso, extrair mais informações. 


Nessa fase deve-se aproveitar para explicar 
algumas formalidades da entrevista, como 
possível gravação e outros procedimen- 
tos, a fim de desmistificar o processo e dar 
segurança ao entrevistado de que ele não 
será enganado. O entrevistado pode ser so- 
licitado para comentar sobre questões que 
ainda não foram explicadas ou repetir com 
as suas próprias palavras alguma explicação 
já dada. O entrevistador pode repetir as pa- 
lavras do entrevistado e verificar se o entre- 
vistado entendeu corretamente. 


Em qualquer fase da entrevista, a fim de ga- 
rantir a equidade, o entrevistado pode ser 
encorajado a fazer perguntas ao entrevista- 
dor, caso haja algo que não entenda. O en- 
trevistador pode usar a fase de engajamen- 
to como treinamento para a fase seguinte 


da entrevista, estabelecendo o controle e 
deixando o entrevistado pronto. O entrevis- 
tado será incentivado a responder uma per- 
gunta simples, e o entrevistador aproveita 
para avaliar a capacidade de comunicação 
do entrevistado. 


Uma vez que essa fase de engajamento 
passe, a testemunha será solicitada a dar a 
sua versão dos fatos. O entrevistador fará as 
perguntas para esclarecer a versão ou inter- 
romper quando alguma informação adicio- 
nal é necessária. 


= Relato 


Nessa fase, o entrevistador obtém o relato 
completo dos eventos do entrevistado. As 
três etapas principais são: obtenção do rela- 
to do entrevistado sobre os eventos; expan- 
dindo e esclarecendo o relato; contestando 
o relato do entrevistado com outras infor- 
mações (se necessário). 


Boa capacidade de questionamento e au- 
dição são necessárias para induzir um rela- 
to preciso e confiável. Durante o processo 
de relato, um entrevistado pode mudar de 
cooperativo para não cooperativo, por isso 
é importante que o entrevistador esteja to- 
talmente alerta durante a entrevista, já que 
deve ser capaz de detectar alterações na lin- 
guagem e no comportamento do entrevis- 
tado. Recomenda-se que os entrevistadores 
façam todas as perguntas relevantes, mes- 
mo que a resposta seja “sem comentários”, 
para que não haja lacunas na entrevista. 


Referencial de Combate a Fraude e Corrupção | 87 


na" [= mm INVESTIGAÇÃO q" =]"]="nu"go"aioa, 


Depois que o entrevistado começar a dar o 
seu relato, o entrevistador pode usar técni- 
cas de questionamento, resumindo o que 
foi dito, repetindo perguntas, variando as 
perguntas sobre as mesmas circunstâncias, 
variando as respostas anteriores do entre- 
vistado para sugerir que ele já disse algo ou 
encorajar formas diferentes de se recordar 
dos mesmos fatos. 


Ao final dessa fase, o entrevistador pode 
precisar esclarecer ou contestar o relato do 
entrevistado. Isso pode ser preciso porque 
algo que o entrevistado disse não ficou claro 
para o entrevistador ou porque as informa- 
ções são contraditórias com outras informa- 
ções já conhecidas. Essa etapa pode envol- 
ver a contestação tanto de inconsistências 
no próprio relato, como incluir contestações 
pré-planejadas a partir de informações re- 
tidas, a fim de testar o que o entrevistado 
dirá na ausência de conhecimento de certos 
pontos chave. 


= Encerramento 


A fase de encerramento deve garantir que o 
entrevistado compreenda o que aconteceu 
durante a entrevista, que as informações que 
ele deu são suficientes em todos os aspectos 
relevantes e que quaisquer áreas cinzentas 
tenham sido suficientemente esclarecidas. 


O entrevistador deve confirmar que todos 
os aspectos do relato foram cobertos, per- 
mitindo que o entrevistado dê qualquer in- 
formação adicional que ele achar relevante. 
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"= Avaliação 


Nessa última fase, o entrevistador deve 
rever as suas notas para ver se as metas e 
objetivos da entrevista foram alcançados. 
Além disso, o entrevistador também irá 
rever a investigação à luz das informações 
obtidas durante a entrevista, e pode refletir 
sobre a eficácia da entrevista. 


Prática 12.5 — Examinar documentos 


Consiste em analisar documentos em busca 
de evidências da fraude e corrupção. Os inves- 
tigadores devem estar atentos a falsificações, 
mesmo que não sejam peritos. Se houver a 
suspeita de que algum documento é falso, um 
perito documental deve ser providenciado. 


É importante evitar manusear o documento 
original, para preservá-lo, razão pela qual 
cópias devem ser utilizadas. Os originais 
não devem ser dobrados, grampeados, pre- 
sos por clips, nem riscados, para não criar 
indentações. Os investigadores devem sa- 
ber os vários tipos de perícias possíveis para 
acioná-las se preciso, tais como: identificar 
assinaturas falsas; identificar o autor de as- 
sinaturas e manuscritos; alteração e supres- 
são de documentos; detectar montagem 
de documentos; comparar tintas e papéis; 
identificar copiadora ou a impressora de 
origem, para acionar a perícia quando for 
relevante a verificação. 


Outras falsificações dispensam perícia para 
serem identificadas. Por exemplo: os mes- 


mos erros de grafia ou de cálculos, padrões 
idênticos de formatação e letra cursiva simi- 
lares em documentos de fontes supostamen- 
te diferentes indiciam processos forjados. 


É importante que haja adequado registro e 
documentação das provas e evidências cole- 
tadas na investigação, de forma a assegurar 
a sua disponibilidade, confiabilidade e confi- 
dencialidade, uma vez que tais informações 
podem se tornar a base de futuros processos 
administrativos e judiciais. A transferência de 
custódia de documentos deve ser registrada, 
para se manter rastreabilidade sobre quem 
os possuiu e para qual motivo. 


Documentos eletrônicos também podem 
ser examinados. Se for assinado digitalmen- 
te, deve-se verificar a validade da certifica- 
ção digital do emissor. Para documentos 
gerados pela internet, como certidões ne- 
gativas, sua validade pode ser verificada no 
sítio da entidade emissora. 


Documentos eletrônicos de qualquer nature- 
za podem ser comparados com documentos 
que constam em outras fontes para verificar 
se são os mesmos ou se houve alguma alte- 
ração. Isso pode ser feito comparando-se o 
código hash“ dos dois arquivos. 


Para a realização de inspeção em meios 
eletrônicos em busca de evidências, há a 
necessidade de pessoal capacitado para 
identificar, recuperar, coletar, processar e 


preservar os dados digitais. Um perito digi- 
tal pode recuperar, por exemplo: 


=" arquivos apagados; 

= arquivos temporários salvos; 

= lista de arquivos de impressos; 
= sítios visitados; 


= comunicação por meio de mensagei- 
ros digitais; 


= documentos criados, modificados 
ou acessados; 


= dados copiados, corrompidos ou movidos; 


=" data e hora de arquivos que foram cria- 
dos, acessados, modificados, instalados, 
apagados ou baixados. 


Um perito utilizará ferramentas que pre- 
servarão a fonte das evidências, para que 
qualquer contestação de adulteração das 
evidências feita pelo suspeito em sua defe- 
sa não prospere, tanto no processo adminis- 
trativo quanto no civil ou judicial. 


13 - PÓS-INVESTIGAÇÃO 
A execução da investigação se encerra com 


a elaboração do relatório de investigação, 
que tratará das questões específicas da frau- 


66 A função hash, quando aplicada sobre um arquivo, gera um código único para seu tipo. Se dois arquivos forem idênticos, apre- 


sentarão o mesmo código hash. 
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de e corrupção, mas pode também trazer 
recomendações gerais para melhorar os 
controles internos. O resultado de toda in- 
vestigação deve ser considerado como in- 
sumo nos processos da organização. 


Prática 13.1 — Revisar controles internos 
após a ocorrência de uma fraude e corrupção 


Consiste em fazer a revisão das políticas, 
estratégias, planos, gestão e controles 
de risco de fraude e corrupção na orga- 
nização, com base nas provas reunidas e 
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conclusões de eventual auditoria sobre 
o assunto. Todos os registros de perdas 
identificados devido à fraude e corrupção 
devem ser considerados, tais como en- 
trevistas com investigados, depoimentos 
de testemunhas, evidências físicas, dados 
computacionais, bem como provas adicio- 
nais de terceiros, tais como serviços de pe- 
rícia em geral. 


Tais informações ampliam e melhoram a capa- 
cidade organizacional para prevenir e detec- 
tar novas ocorrências de fraude e corrupção. 


RM AR LA LT BEL 5: CORREÇÃO Tr 


CORREÇÃO 


e, mesmo com as práticas de preven- 

ção e detecção implantadas, a fraude 

e corrupção ocorreram na organiza- 
ção, é imprescindível que medidas corre- 
tivas sejam tomadas. Essas medidas, além 
de promoverem a mitigação do dano e a 
devida sanção aos responsáveis no caso 
concreto, emitem a mensagem para servi- 
dores, beneficiários de programas, usuá- 
rios de serviços públicos e fornecedores ou 
qualquer outra parte interessada, de que a 
organização não se omite perante a fraude 
e corrupção. 


Cada tipo de fraude e corrupção requer um 
procedimento apropriado. Por vezes, o mes- 
mo ato fraudulento ou corrupto requer mais 
de um procedimento, haja vista que a aplica- 
ção da sanção disciplinar e a mitigação dos 
danos requerem procedimentos distintos e, 
inicialmente, independentes. Os procedi- 
mentos são, em geral, conduzidos pela cor- 
regedoria ou outro órgão com essa compe- 
tência, conforme a natureza da organização. 


O mecanismo de correção está estruturado 
em quatro componentes, sendo cada um 
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localizado em uma esfera de correção. A 
sequência dos componentes é dada pelo 
potencial de gravidade do ilícito e, conse- 
quentemente, da gravidade da sanção. As 
práticas trazem os principais procedimen- 
tos existentes no ordenamento nacional, 
mas não são exaustivas, pois alguns pro- 
cedimentos são específicos para algumas 
organizações e por isso não estão listados. 
Da mesma forma, nem todos os procedi- 
mentos mencionados servem para todas as 
organizações, pois a natureza jurídica da 
organização determina quais são os proce- 
dimentos aplicáveis. 


O termo “correção” desse mecanismo 
significa corrigir o problema, mas não ne- 
cessariamente aplicando medidas corre- 
cionais, aquelas que resultam em punição, 
pois algumas práticas listadas não têm 
essa característica. 


As práticas aqui descritas não têm a preten- 
são de exaurir o assunto de cada procedi- 
mento que, naturalmente, além de serem de- 
rivadas de algum diploma legal, são afetadas 
pelas respectivas jurisprudência e doutrina. 


A organização pode desejar evitar a aten- = agir como um elemento dissuasor para 

ção adversa da mídia ao divulgar os resul- os outros; 

tados das medidas correcionais, entretanto 

a transparência de informações em relação = demonstrar que medidas disciplinares 

aos resultados dessas medidas contra a frau- são tomadas contra os responsáveis por 

de e corrupção têm os seguintes benefícios: fraudes e corrupção; 

= abordar questões éticas, que podem ser = demonstrar o compromisso da organi- 

usadas como parte de um programa de zação em ter uma cultura ética e de in- 
sensibilização contra a fraude e corrupção; tegridade, antifraude e anticorrupção. 


Mecanismo - Correção 


Componente C1 - Ilícitos éticos 


Prática C1.1 — Procedimento ético preliminar 


Prática C1.2 — Processo de apuração ética e de integridade 


Componente C2 - Ilícitos administrativos 


Prática C2.1 — Sindicância 


Prática C2.2 — Processo administrativo disciplinar (PAD) 


Prática C2.3 — Termo circunstanciado administrativo (TCA) 


Prática C2.4 — Tomada de contas especial (TCE) 


Prática C2.5 — Processo administrativo de responsabilização (PAR) 


Componente C3 - Ilícitos civis 


Prática C3.1 — Ação civil de improbidade administrativa 


Prática C3.2 — Ação civil de improbidade empresarial 


Componente C4 - lícitos penais 


Prática C4.1 — Responsabilização penal 
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C1 - ILÍCITOS ÉTICOS 


Os ilícitos éticos são a forma mais leve de 
infração que o servidor ou parte interessada 
pode cometer. Por consequente, a sanção é 
branda, em geral resumindo-se em aplica- 
ção de censura nos assentamentos. No en- 
tanto, a importância de se apurar e aplicar a 
sanção está na mensagem que se passa para 
todos na organização e fora dela. Além dis- 
so, grandes esquemas fraudulentos podem 
ter início a partir de pequenos desvios éticos 
que foram reiteradamente negligenciados. 
Assim, mais fácil do que apagar um grande 
incêndio é eliminar os focos de faíscas. 


Prática C1.1 — Procedimento ético preliminar 


Uma vez recebida pela comissão de ética al- 
guma notícia, representação ou denúncia de 
transgressão ética, cabe, preliminarmente, a 
instauração de um procedimento para averi- 
guação dos fatos. O objetivo desse procedi- 
mento é confirmar a existência da transgres- 
são e identificar sua suposta autoria. 


O procedimento inicia-se com a verifica- 
ção de admissibilidade da demanda, que 
deve conter a conduta antiética cometi- 
da e elementos de prova ou indicação de 
onde podem ser encontrados. A existência 
de indicação de autoria é recomendada, 
mas não decisiva. Se admitida a demanda, 
prosseguirá a investigação com a coleta 
documental e, se conveniente, a oitiva do 
investigado. Com base no relatório produ- 
zido, a comissão decidirá se arquiva o pro- 
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cesso, propõe um acordo de conduta com 
o investigado ou converte num processo 
de apuração ética. 


Se decidido por um acordo de conduta e 
a proposta for aceita pelo investigado, fica 
o processo sobrestado por período defini- 
do em código de ética. Findo esse período, 
e se cumprido o acordo, o processo é ar- 
quivado. Se descumprido, é convertido em 
processo de apuração ética. 


Prática C1.2 — Processo de apuração ética 
e de integridade 


Instaurado o processo de apuração ética 
e de integridade, a comissão notificará o 
investigado para apresentar a sua defesa 
prévia por escrito, em prazo determinado, 
indicando os documentos e as testemunhas 
que suportem a sua defesa. Se o investiga- 
do se abstiver de apresentar defesa, um ser- 
vidor deverá ser nomeado para defendê-lo. 


Analisada a defesa prévia, o relatório deve 
ser elaborado, e o investigado, notificado 
para apresentar alegações finais em prazo 
determinado. Em seguida, a comissão de- 
verá proferir a sua decisão, que pode ser 
pela censura, recomendação ou acordo 
de conduta. 


Se houver indícios de que atos cometidos 
possuem repercussão na esfera administra- 
tiva, civil e penal, a comissão de ética deve 
encaminhar cópia do processo à autoridade 
competente para apuração, tais como de- 


partamento de recursos humanos, o setor 
jurídico ou o ministério público, sem prejuízo 
da adoção das medidas de sua competência. 


C2 - ILÍCITOS ADMINISTRATIVOS 


Engloba todas as infrações cometidas con- 
tra a lei que disciplina o cargo ou emprego 
e os regulamentos internos da organização. 
Tanto os procedimentos de apuração e res- 
ponsabilização quanto as medidas punitivas 
são da alçada da própria organização, o que 
faz desse procedimento um importante ins- 
trumento de correção da fraude e corrup- 
ção cometida. 


Prática C2.1 - Sindicância 


A sindicância punitiva ou acusatória refere- 
-se a um procedimento preliminar sumário, 
instaurado para apurar irregularidades de 
menor gravidade no serviço público, com 
caráter eminentemente punitivo, e que 
deve respeitar o contraditório, a oportuni- 
dade de defesa e o devido processo legal 
(BRASIL, 2006). 


Em linhas gerais, quando a infração disci- 
plinar apurada for punível com advertên- 
cia ou suspensão por até 30 dias, pode ser 
utilizada a sindicância acusatória. Por outro 
lado, se a punição aplicável for suspensão 
por mais de 30 dias, a demissão, a cassa- 
ção de aposentadoria, a disponibilidade 
ou a destituição de cargo em comissão im- 
põe-se à instauração do processo adminis- 
trativo disciplinar. 


Assim sendo, a instauração da sindicância 
acusatória deve cingir-se às situações em 
que se tem preliminar convicção de que os 
fatos não são demasiadamente graves ao 
ponto de ensejar as penalidades para as 
quais a lei exige o processo administrativo 
disciplinar. Na dúvida, em sendo verifica- 
da eventual gravidade para os fatos, é re- 
comendável a instauração de um plano do 
processo administrativo disciplinar. 


Cabe destacar que se sujeitam a esse pro- 
cedimento servidores públicos estáveis ou 
em estágio probatório para cargo efetivo, 
bem como ocupantes de cargo em comis- 
são e de função comissionada. Não se su- 
jeitam, notadamente, os agentes políticos, 
militares, particulares em colaboração com 
o poder público, temporários, terceirizados, 
celetistas, estagiários e consultores de pro- 
gramas internacionais. 


Prática C2.2 - Processo administrativo 
disciplinar (PAD) 


Trata-se de um instrumento legal para apu- 
rar administrativamente a responsabilidade 
de servidor por infração praticada no exer- 
cício de suas atribuições, ou que tenha rela- 
ção com as atribuições do cargo em que se 
encontre investido. 


Uma vez comprovada a infração discipli- 
nar pela própria organização, por meio de 
processo administrativo disciplinar, será 
possível a aplicação das seguintes sanções: 
i) advertência; ii) suspensão; iii) demissão; 
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iv) cassação de aposentadoria ou disponibi- 
lidade; v) destituição de cargo em comissão; 
ou vi) destituição de função comissionada. 


Conforme a Lei nº 8.112, de 1990, o proces- 
so administrativo disciplinar pode ser sub- 
metido a rito ordinário ou sumário“. 


O processo administrativo disciplinar sob o 
rito ordinário se desenvolve nas seguintes 
fases: i) instauração, com a publicação do 
ato que constituir a comissão; ii) inquérito 
administrativo, que compreende instrução, 
defesa e relatório; e iii) julgamento. 


Será conduzido por comissão composta de 
três servidores estáveis designados pela au- 
toridade competente, que indicará, dentre 
eles, o seu presidente, que deverá ser ocu- 
pante de cargo efetivo superior ou de mes- 
mo nível, ou ter nível de escolaridade igual 
ou superior ao do indiciado. 


O prazo para a conclusão do processo disci- 
plinar ordinário não excederá sessenta dias, 
contados da data de publicação do ato que 
constituir a comissão, admitida a sua pror- 
rogação por igual prazo, quando as circuns- 
tâncias o exigirem. 


O processo administrativo disciplinar sumá- 
rio, por sua vez, é aplicável apenas quando 
da apuração dos seguintes ilícitos adminis- 
trativos: acumulação ilegal de cargos, aban- 
dono de cargo e inassiduidade habitual. 


Em linhas gerais, o rito sumário possui as 
seguintes especificidades: os prazos são 
reduzidos em relação ao rito ordinário, e a 
portaria de instauração deve explicitar a ma- 
terialidade do possível ilícito. As provas a se- 
rem produzidas no processo sumário são, em 
tese, meramente documentais, pois para se 
verificar a ilicitude nesses casos não há ne- 
cessidade de outras medidas probatórias. 


O prazo para a conclusão do processo admi- 
nistrativo disciplinar submetido ao rito sumá- 
rio não excederá trinta dias, contados da data 
de publicação do ato que constituir a comis- 
são, admitida a sua prorrogação por até quin- 
ze dias quando as circunstâncias exigirem. 


A intenção do legislador ao estabelecer o 
processo sumário foi agilizar a averiguação 
das respectivas transgressões, que por en- 
volverem apenas prova documental se pro- 
cessam mais rápido. 


As penalidades disciplinares serão aplicadas: 
i) pelo presidente da República, pelos presi- 
dentes das Casas do Poder Legislativo e dos 
Tribunais Federais e pelo Procurador-Geral 
da República, quando se tratar de demissão 
e cassação de aposentadoria ou disponibili- 
dade de servidor vinculado ao respectivo po- 
der, órgão ou entidade; ii) pelas autoridades 
administrativas de hierarquia imediatamente 
inferior quando se tratar de suspensão supe- 
rior a trinta dias; iii) pelo chefe da repartição 
e outras autoridades na forma dos respecti- 


67 Processo administrativo disciplinar sob o rito sumário comporta também a espécie sindicância acusatória (art. 145, Il, da Lei nº 
8.112/1990), comentado neste referencial, que trata do procedimento sobre sindicância. 
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vos regimentos ou regulamentos, nos casos 
de advertência ou de suspensão de até trinta 
dias; iv) pela autoridade que houver feito a 
nomeação, quando se tratar de destituição 
de cargo em comissão. 


Em relação às empresas estatais, que po- 
dem ser empresas públicas ou de econo- 
mia mista, não há na legislação trabalhista 
uma exigência para que se instaure um 
prévio processo administrativo disciplinar 
para a aplicação de penalidade aos em- 
pregados públicos. No entanto, não po- 
dem os respectivos gestores aplicar pena- 
lidades na ausência de provas da conduta 
infracional e com inobservância dos prin- 
cípios do contraditório e ampla defesa, 
sob pena de sua invalidação, inclusive 
pela Justiça do Trabalho. 


Nesse sentido, uma vez prevista em regu- 
lamento interno a necessidade de realiza- 
ção de processo prévio para a aplicação de 
pena disciplinar, a estatal não poderá dis- 
pensá-lo e aplicar sanção a um empregado 
alegando que a legislação trabalhista não 
prevê essa garantia. Terá ela que realizar o 
procedimento previsto em seus regulamen- 
tos, sempre que verificar a necessidade de 
exercício do poder disciplinar. 


As empresas estatais adotam uma espécie 
de procedimento disciplinar dividido em 
duas fases bem distintas: a primeira, de as- 
pecto inquisitorial, na qual são produzidas 


as provas necessárias para a convicção da 
comissão responsável; e a segunda, em re- 
gra, formalizada por meio de instrumento 
no qual restará firmada a conclusão preli- 
minar da comissão acerca da materialidade 
e autoria do fato sob apuração, ou seja, se 
ocorreu a irregularidade e quais os empre- 
gados envolvidos. Apenas na segunda fase 
do processo é estabelecido o contraditório, 
pois apenas nesse segundo momento a co- 
missão tem condições de formalizar uma 
peça de acusação em desfavor dos envolvi- 
dos, facultando-lhes solicitar a produção de 
novas provas ou mesmo contestar aquelas 
levantadas previamente. 


São três espécies de penas passíveis de se- 
rem impostas pela administração ao faltoso, 
aplicadas pela maioria das empresas esta- 
tais nos procedimentos disciplinares: i) ad- 
vertência (verbal ou escrita); ii) suspensão; e 
iii) dispensa com justa causa. 


Prática C2.3 — Termo circunstanciado 
administrativo (TCA) 


Trata-se de instrumento que visa a apura- 
ção, mediante rito sumário, de casos de 
extravio ou danos a bem público, que im- 
plique prejuízo de pequeno valor que não 
justifique a instauração de procedimento de 
apuração conduzido por comissão. O TCA‘? 
só será utilizado quando o extravio ou o 
dano não for intencional, ou seja, não tive- 
rem origem dolosa (BRASIL, 2015c). 


68 Instrução Normativa nº 4, de 17/2/2009. Decreto nº 5.483/2005. Disponível em: <http://www.cgu.gov.br/sobre/perguntas- 
-frequentes/atividade-disciplinar/procedimentos-disciplinares >. Acesso em: 10 ago. 2018. 
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Como parâmetro para classificar o prejuízo 
de pequeno valor, aplica-se o limite estabe- 
lecido para as hipóteses de dispensa de lici- 
tação, conforme o art. 24, Il da Lei nº 8.666, 
de 1993. Esse limite considera o valor ne- 
cessário para repor o bem extraviado ou 
reparar o bem danificado. O TCA se aplica 
tanto para bens patrimoniados quanto bens 
sob guarda da organização. 


O TCA deve ser autuado na forma de pro- 
cesso, não sendo necessária a publicação 
de ato de instauração e de designação de 
condutor, atribuição que recai sobre o chefe 
do setor responsável pela gerência de bens 
e materiais da unidade. 


O responsável deverá lavrar o TCA, descre- 
vendo o fato, identificando o servidor envol- 
vido e propiciando-lhe manifestação no pro- 
cesso em cinco dias. Ao final, o responsável 
deverá apresentar parecer conclusivo, com 
proposta de julgamento para o titular da uni- 
dade de lotação do servidor à época do fato, 
que poderá acatar ou não a proposta. 


Entretanto, se, ao final do TCA, ficar de- 
monstrado o dolo do servidor, ou se por 
ação culposa o servidor não quiser ressarcir 
o erário, a organização deve proceder ao 
Processo Administrativo Disciplinar. 


Prática C2.4 - Tomada de contas 
especial (TCE) 


Diante de fatos como a negativa de pres- 
tar contas de recursos transferidos a con- 
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vênios, contratos de repasse, termo de 
colaboração e termo de fomento; o des- 
vio de recursos financeiros ou bens públi- 
cos; ou de algum ato ilegal, ilegítimo e 
antieconômico que provoque dano finan- 
ceiro, a organização deve tomar medidas 
administrativas imediatas para caracteri- 
zação ou eliminação do dano, observados 
os princípios norteadores dos processos 
administrativos. Esgotadas as medidas 
administrativas sem a eliminação do dano, 
a organização deve, imediatamente, ins- 
taurar uma tomada de contas especial. 


Tomada de contas especial (TCE) é um pro- 
cesso administrativo, com rito próprio, ins- 
taurado para apurar responsabilidade por 
ocorrência de dano à administração pública 
federal, com apuração de fatos, quantifica- 
ção do dano, identificação dos responsáveis 
e obtenção do respectivo ressarcimento. Os 
responsáveis podem ser tanto pessoas físi- 
cas quanto jurídicas. 


É importante que o gestor competente ins- 
taure a tomada de contas especial, pois a 
sua omissão implica na sua responsabiliza- 
ção solidária aos responsáveis pelo dano. E, 
no curso de suas atividades, se a auditoria 
interna tomar ciência de algum desses da- 
nos, deve alertar formalmente a alta admi- 
nistração. Na omissão do gestor, o Tribunal 
de Contas (TC) respectivo pode determinar 
a sua instauração. 


A tomada de contas especial deve ser en- 
caminhada ao TC para julgamento e só não 


será enviada se o dano for ressarcido pelos 
responsáveis ou senão for comprovada a 
ocorrência do dano. 


Mas nem todo dano pode demandar uma 
tomada de contas especial. Pelos custos 
envolvidos na realização desse processo, 
apenas deve ser instaurado o processo para 
os danos que potencialmente ultrapassem 
o valor estabelecido pelo TC respectivo e se 
houver transcorrido menos de dez anos en- 
tre a data provável de ocorrência do dano e 
a primeira notificação dos responsáveis pela 
autoridade administrativa competente. 


É muito importante a quantificação do dano 
para a imputação do débito aos responsá- 
veis. Quando não for possível a verificação 
exata do real valor, deve-se estimar, por mé- 
todos confiáveis, o valor mais justo possível. 
Sobre esse valor incidirá a atualização mo- 
netária e juros moratórios. 


No caso de recurso federal, o processo da 
TCE deve ser encaminhado ao TCU, com 
todas as peças necessárias, em até 180 dias 
do término do exercício financeiro em que 
foi instaurada. 


Prática C2.5 - Processo administrativo de 
responsabilização (PAR) 


Se contra a organização foi praticado um 
ato lesivo por pessoa jurídica, cabe a ins- 
tauração de um processo administrativo de 
responsabilização. A pessoa jurídica pode 
ser sociedade empresária ou simples, per- 


sonificada ou não, e fundações, associações 
de pessoas ou entidades. 


Por esse processo, a pessoa jurídica res- 
ponde objetivamente por sua conduta, o 
que dispensa a prova de culpa para que 
seja responsabilizada pelo dano. Os atos 
lesivos a que a Lei nº 12.846, de 2013, alu- 
de são, em geral, atos de corrupção con- 
tra a organização. 


O processo deve ser instaurado pela auto- 
ridade máxima da organização ou, em caso 
de órgão da administração direta, do seu 
Ministro de Estado. Entretanto, antes da 
instauração pode ser providenciada uma 
investigação preliminar. Essa investigação 
tem o objetivo de apurar indícios de autoria 
e materialidade para subsidiar, por meio de 
relatório, a decisão da autoridade máxima 
pela instauração do PAR. Portanto, essa in- 
vestigação será sigilosa, sem contraditório e 
terá caráter não punitivo. 


Uma vez instaurado o PAR, uma comis- 
são será designada para avaliar os fatos 
e circunstâncias conhecidas e intimará a 
pessoa jurídica para apresentar defesa. 
A comissão pode propor cautelarmente 
à autoridade máxima que suspenda os 
efeitos do ato ou processo que seja obje- 
to de investigação. 


A responsabilização da pessoa jurídica é in- 
dependente da responsabilização individual 
dos seus dirigentes, que responderão como 
pessoa física no processo devido. 
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Se a conduta da pessoa jurídica incluir infra- 
ções administrativas das normas de licitação 
e contrato, que também sejam condutas 
lesivas pela Lei nº 12.846, de 2013, o PAR 
também pode apurar essas infrações. 


As sanções que podem ser aplicadas são a 
multa proporcional ao faturamento bruto, 
excluídos tributos, e a publicação extraordi- 
nária da condenação em veículo impresso, 
no sítio eletrônico e no estabelecimento da 
condenada. Além dessas sanções, são cabí- 
veis as previstas na Lei nº 8.666, de 1993, 
quando constatadas as infrações previstas 
nessa lei. Essas sanções são declaração de 
inidoneidade para licitar ou contratar com 
a administração pública, suspensão, multa 
e advertência. 


A instauração do PAR não afeta nem é pre- 
judicada por outros procedimentos instau- 
rados para ressarcimento integral do dano, 
como a TCE. 


Se o relatório final do PAR verificar a ocor- 
rência de eventuais ilícitos em outras esfe- 
ras, deve ser encaminhado para o ministério 
público e para o órgão de representação ju- 
dicial da organização. 


C3 - ILÍCITOS CIVIS 


No caso de contratos administrativos de 
bens e serviços, na ocorrência de danos ao 
erário, existe a possibilidade de retenção 
de créditos a pagar e execução da garantia 
contratual para satisfazer o ressarcimento 
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integral. No entanto, quando o dano exce- 
der essas provisões ou não houver relação 
financeira com o responsável pelo dano, 
será necessária a via judicial para atingir 
esse objetivo, pois só essa via tem os meios 
coercitivos para se executar uma dívida. 


Prática C3.1 — Ação civil de 
improbidade administrativa 


Se servidores ou terceiros, pessoas físicas 
ou jurídicas, praticarem atos de improbida- 
de contra a organização, caberá a ela pro- 
mover medidas nos âmbitos administrativo 
e civil. Por improbidade entende-se todo o 
rol de condutas enquadradas na Lei 8.429, 
de 1992. No âmbito administrativo, a or- 
ganização deve adotar os procedimentos 
disciplinares contra os servidores responsá- 
veis pelos atos ímprobos. No âmbito civil, 
a organização deve ajuizar ação contra os 
servidores e terceiros, beneficiários diretos 
e indiretos do ato. 


É importante observar que para as condutas 
ímprobas não cabe a responsabilidade ob- 
jetiva. Além disso, exige-se a presença de 
dolo para os casos dos arts. 9 e 11 da Lei 
nº 8.429, de 1992, enquanto para o art. 10 
basta a culpa. 


A organização deve buscar o ressarcimen- 
to integral dos prejuízos sofridos ou que 
resultaram em enriquecimento ilícito para 
servidores ou terceiros. O prejuízo pode 
ter origem dolosa ou culposa, por ação ou 
omissão de servidor ou terceiro. 


Caso haja a participação de terceiro no ato 
de improbidade, é necessário identificar o 
servidor envolvido, pois não cabe ação ex- 
clusivamente contra o terceiro sem a presen- 
ça de servidor no polo passivo da demanda. 


Em caso de forte indício de responsabilida- 
de, a organização pode requerer medida 
cautelar, na qual pedirá em juízo, por meio 


de sua procuradoria ou representando o 
Ministério Público, o sequestro dos bens do 
servidor ou terceiro para garantir economi- 
camente o ressarcimento integral. Essa me- 
dida pode ser pedida sem que seja ouvida a 
parte adversa se houver risco de alienação, 
oneração ou dilapidação patrimonial de 
bens do acionado, dificultando ou impos- 
sibilitando o eventual ressarcimento futuro. 
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A decretação de indisponibilidade de bens 
pode recair sobre aqueles adquiridos ante- 
riormente ao suposto ato e deve levar tam- 
bém em consideração o valor de possível 
multa civil como sanção autônoma. 


As sanções que podem ser aplicadas são 
de ressarcimento integral do dano, perda 
dos bens acrescidos ilicitamente ao patri- 
mônio, perda da função pública, suspen- 
são dos direitos políticos, pagamento de 
multa e proibição de contratar com o po- 
der público ou de receber benefícios ou 
incentivos fiscais ou creditórios. 


O ressarcimento não se limita ao prejuízo 
material, mas inclui multa e danos morais à 
organização ou a terceiros. No prazo de 30 
dias da medida cautelar, a organização deve 
propor a ação principal com documentos ou 
justificação que contenham indícios suficien- 
tes da existência do ato de improbidade. 


Se já estiverem prescritas as sanções de- 
correntes de atos de improbidade admi- 
nistrativa, ainda assim cabe o prossegui- 
mento da demanda quanto ao pleito de 
ressarcimento dos danos ao erário, que 
é imprescritível (art. 37, parágrafo 5 da 
Constituição Federal). 


A responsabilização na esfera judicial não 
será possível se houver acordo de leniência 
previsto na Lei nº 12.846, de 2013, firma- 
do entre a pessoa jurídica e a organização, 
com a participação da advocacia pública e 
do Ministério Público. 
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Prática C3.2 — Ação civil 
de improbidade empresarial 


Além das sanções que a pessoa jurídica 
pode sofrer pelo processo administrativo 
de responsabilização, ela fica passível de 
ação civil para perdimento de bens, direitos 
ou valores que representem vantagem ou 
proveito, direta e indiretamente, obtidos da 
infração, suspensão ou interdição parcial de 
suas atividades, bem como dissolução com- 
pulsória da pessoa jurídica e proibição de 
receber incentivos, subsídios, subvenções, 
doações ou empréstimos de órgãos ou enti- 
dades públicas e de instituições financeiras 
públicas ou controladas pelo poder público. 


Essas sanções podem ser aplicadas de 
forma isolada ou cumulativa. Pode ser 
requerida indisponibilidade de bens, di- 
reitos, ou valores para garantia do paga- 
mento da multa ou da reparação integral 
do dano causado. 


Assim como no item anterior, a responsabili- 
zação na esfera judicial não será possível se 
houver acordo de leniência firmado entre a 
pessoa jurídica e a organização, com a par- 
ticipação da Advocacia Pública e do Minis- 
tério Público. 


C4 - ILÍCITOS PENAIS 


A infração ética, administrativa ou civil, 
pode ter repercussão também na esfera 
penal. Assim, independentemente de haver 
medidas nessas esferas, a autoridade admi- 


nistrativa que tem conhecimento de indícios 
de crime ou contravenção também é obri- 
gada a representar o Ministério Público*. 


Contudo, isso não impede qualquer proce- 
dimento realizado nessas esferas. Pelo con- 
trário, a infração deve ser tratada em todas 
as esferas afetadas, pois cada uma apresen- 
ta um conjunto sancionador diferente. 


Prática C4.1 - Responsabilização penal 


O servidor público federal responde ad- 
ministrativamente, civil e penalmente pelo 
exercício irregular de suas atribuições. Es- 
sas responsabilidades possuem caracterís- 
ticas próprias, sofrendo diferentes grada- 
ções conforme situações que podem se 
apresentar como condutas irregulares ou 
ilícitas no exercício das atividades funcio- 
nais, possibilitando a aplicação de diferen- 
tes penalidades que variam de instância 
para instância. 


Dessa forma, o cometimento de conduta 
irregular pode ensejar a responsabilização 
penal (criminal), que abrange crimes e con- 
travenções imputadas ao servidor, nessa 
qualidade, sujeitando-o a responder a pro- 
cesso criminal e a suportar os efeitos legais 
da condenação. 


Ademais, as sanções administrativas, civis 
e penais poderão se cumular, sendo inde- 
pendentes entre si”. Todavia, mesmo se 
confirmada, em princípio, a independên- 
cia dessas instâncias, há situações em que, 
uma vez decididas no juízo criminal, reper- 
cutem necessariamente nas instâncias civil 
e administrativa. 


Além disso, a absolvição penal que negue 
a existência do fato (infração) ou negue a 
autoria do servidor (não foi o servidor o 
autor do fato) implica o afastamento da 
responsabilidade administrativa e civil. 
Porém, a absolvição penal por insuficiên- 
cia de provas não afasta a responsabilida- 
de administrativa do servidor. Portanto, 
na hipótese de insuficiência de provas, 
mantém-se a punição administrativa. 


As sanções variam de acordo com o grau de 
lesividade aos princípios e interesses admi- 
nistrativos, e os principais crimes funcionais 
contra a administração pública estão tipifi- 
cados no Código Penal”, sendo processa- 
dos mediante ação penal pública incondi- 
cionada proposta pelo Ministério Público 
perante o Poder Judiciário. 


As sanções cabíveis, conforme o caso, po- 
dem ser de privação de liberdade, restrição 


69 Art. 154 da Lei nº 8.112/1990: Os autos da sindicância integrarão o processo disciplinar, como peça informativa da instrução. Pa- 
rágrafo único. Na hipótese de o relatório da sindicância concluir que a infração está capitulada como ilícito penal, a autoridade compe- 
tente encaminhará cópia dos autos ao Ministério Público, independentemente da imediata instauração do processo disciplinar. 

Art. 171 da Lei nº 8.112/1990: Quando a infração estiver capitulada como crime, o processo disciplinar será remetido ao Ministé- 
rio Público para instauração da ação penal, ficando trasladado na repartição. 


70 Art. 125 da Lei nº 8.112/1990: As sanções civis, penais e administrativas poderão cumular-se, sendo independentes entre si. 


71 Crimes funcionais tipificados nos arts. 312 a 326, bem como nos arts. 359-A ao 359-H do Código Penal. 
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de direitos ou multa”?. 


Dentre os principais crimes praticados por 
servidores públicos contra a administração 
pública previstos na legislação, destacam-se: 


= peculato: consiste em apropriar-se o 
funcionário de dinheiro, valor ou outro 
bem móvel, público ou particular, de 
que tem a posse em razão do cargo; 


= concussão: ocorre quando o funcioná- 
rio exige vantagem indevida, em razão 
do cargo; 


= corrupção passiva: consiste na solicita- 
ção ou recebimento de vantagem inde- 
vida para a prática ou omissão de ato 
inerente à função; 


= prevaricação: configura-se quando o 
funcionário retarda ou deixa de praticar, 
indevidamente, ato de ofício, para satis- 
fazer interesse ou sentimento pessoal; 


=" advocacia administrativa: consiste em 
patrocinar interesse privado perante a 
administração pública, valendo-se da 
qualidade de funcionário; 


72 Art. 32, incisos |, Il e Ill do Código Penal. 
73 Lei nº 4898/1965. 


= violação de sigilo funcional: ocorre quan- 
do o funcionário revela fato de que tem 
ciência em razão do cargo e que devia 
permanecer em segredo. 


Cabe destacar que existem outras trans- 
gressões não relacionadas no Código Pe- 
nal, mas que se configuram como crime. 
Nesse sentido, cita-se como exemplo a 
Lei de Abuso de Autoridade”, que disci- 
plina o delito de abuso de autoridade (ou 
abuso de poder). Merece ser mencionada, 
também, a Lei das Licitações e Contratos 
Administrativos, tendo em vista a tipifica- 
ção de determinadas condutas considera- 
das criminosas”. 


Os prazos de prescrição previstos na lei 
penal aplicam-se às infrações disciplinares 
qualificadas como crime na Lei nº 8.112, de 
1990. Assim, se o servidor cometer infra- 
ção administrativa que configure também 
infração penal, não será punido adminis- 
trativamente se ocorrer prescrição penal. 
O emprego irregular de recursos públicos, 
por exemplo, pela citada leis, é punível 
com demissão, cujo prazo prescricional é 
de 5 anos. No entanto, aplica-se o prazo 
de prescrição da lei penal, que é menor”. 


74 Criminalização de condutas que atentam contra o princípio da Licitação Pública (arts. 89 a 98 da Lei nº 8.666/1993). 


75 Art. 132, VIII, com art. 142, | da Lei nº 8.112/1990. 


76 Prazo prescricional na forma do art. 109 do Código Penal. 
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MONITORAMENTO 


M1 - MONITORAMENTO CONTÍNUO 


o longo da execução das práticas, 

os gestores responsáveis podem 

observar que ajustes devem ser 
realizados nas práticas e nos controles in- 
ternos. Se o gestor detiver competência 
para reajustá-los, deve fazê-lo de imedia- 
to; se não, deve encaminhar o problema 
para quem tiver essa competência. O im- 
portante é que, quando identificada uma 
falha na prática ou controle interno que 
possa ser explorada por um fraudador ou 
corrupto, ela seja rapidamente sanada. 
Isso só é possível se a atividade de moni- 
toramento for contínua. 


Para esse monitoramento, cada gestor res- 
ponsável por implementar qualquer práti- 
ca ou controle deve manter um painel de 
indicadores para subsidiar a sua decisão e 
a da alta administração quanto à efetivida- 
de dessa medida. 


Por exemplo, a gestão da ética e da integri- 


E.E | E 106 | Referencial de Combate a Fraude e Corrupção 


dade pode ser continuamente monitorada 
para verificar se: 


= os códigos de ética e conduta permane- 
cem atualizados; 


=" a comunicação e divulgação dos valores 
e princípios têm sido regulares e utiliza- 
do os meios mais eficientes; 


=" os servidores, alta administração, mem- 
bros dos conselhos, beneficiários de 
programas, usuários de serviços públi- 
cos e fornecedores têm recebido capa- 
citação tempestiva e regular; 


= a comissão de ética tem recebido mani- 
festações e adotado providências; 


=" os casos de desvios éticos e de integri- 
dade têm sido apurados, e as sanções 
previstas, aplicadas. 


Quanto aos controles preventivos e de- 
tectivos implementados, esses indicado- 


res podem ser, mas não se limitam a: 


quantidade de servidores e partes inte- 
ressadas capacitadas em conscientiza- 
ção antifraude e anticorrupção; 


quantidade de servidores que firmaram 
termo de compromisso; 


quantidade de áreas submetidas a ges- 
tão de risco; 


quantidade de riscos identificados e 
sua gravidade; 


quantidade de riscos mitigados; 
quantidade de risco residuais; 


quantidade de informações e dados dis- 
poníveis e taxa de acesso; 


quantidade de solicitação de acesso à 
informação e taxa de atendimento; 


comunicações realizadas; 
quantidade de notícias negativas na mídia; 


quantidade de medidas disciplinares 
instauradas; 


quantidade de esquemas fraudulentos 
e corruptos conhecidos e cometidos 


contra a organização; 


= quantidade e natureza das denúncias 
recebidas pelo canal de denúncias; 


= quantidade e natureza de fraude e cor- 
rupção apuradas, confirmadas e sanadas; 


=" recorrência da fraude e corrupção; 


= a tempestividade na implementação 
de controles; 


= quantidade de auditoria em fraude e cor- 
rupção realizadas pela auditoria interna; 


= quantidade de investigações de fraude 
e corrupção; 


=" estimativa das perdas incorridas com a 
fraude e corrupção e a época em que 
foi cometida; 


= benchmarking” com os dados de fraude 
e corrupção em organizações congêneres. 


As deficiências relatadas devem ser conside- 
radas no âmbito da gestão de risco de fraude 
e corrupção, a fim de se verificar a necessida- 
de de alguma alteração. O propósito desse 
monitoramento é assegurar que as práticas 
e controles internos sejam apropriados para 
as operações da organização e alcancem os 
objetivos para os quais foram estabelecidos. 


77 Benchmarking consiste no processo de busca das melhores práticas numa determinada indústria, que conduzam ao desempe- 
nho superior. E visto como um processo positivo e através do qual uma empresa examina como outra realiza uma função específi- 
ca, a fim de melhorar a execução desta função ou de uma semelhante. 
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M2 - MONITORAMENTO GERAL 


Implantar um plano abrangente de com- 
bate a fraude e corrupção exige atuação 
em diversas frentes na organização. Deve- 
-se, efetivamente, envolver todas as ativi- 
dades da organização, de forma que seja 
difícil a um observador externo discernir o 
que é a cultura e a gestão da organização 
das atividades de combate a fraude e cor- 
rupção implantadas. 


Mas a organização, naturalmente, muda com 
o tempo. O ambiente externo, os objetivos 
da organização, a tecnologia disponível, o 
corpo de servidores, os fornecedores, vários 
fatores mudam ao longo da existência da or- 
ganização, assim como também mudam as 
fraudes e as corrupções realizadas. 


Isso significa que todo o arcabouço de prá- 
ticas descritas neste referencial e implan- 
tadas na organização deve ser monitorado 
periodicamente. O monitoramento geral 
inclui a reavaliação de cada prática quanto 
à sua eficiência e eficácia e pode resultar no 
seu reforço, abrandamento ou eliminação. 


O monitoramento geral não se confunde 
com o monitoramento contínuo. É por meio 
do monitoramento contínuo que os gesto- 
res podem identificar e resolver precoce- 
mente incidentes. O monitoramento geral 
é uma reavaliação geral e periódica e deve 
considerar os resultados alcançados como 
um todo nas atividades-fim da organização, 
para considerar como critério na avaliação 
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do desempenho da política e plano de com- 
bate a fraude e corrupção vigentes. 


Todas as práticas devem ser questionadas 
quanto à sua eficiência e eficácia. Depen- 
dendo de sua natureza e das mudanças 
ocorridas na conjuntura da organização, 
uma prática pode não ser mais pertinente, 
devendo ser eliminada. Uma prática que 
não cumpre o seu papel gera apenas esfor- 
ço da organização, sem contrapartida algu- 
ma. Vale aqui a mesma análise de custo-be- 
nefício feita para os controles. 


No entanto, requer atenção na avaliação da 
eficiência e eficácia da prática averiguar se 
houve por parte da organização o devido 
apoio para que a prática pudesse atingir 
seus objetivos. Se a prática apenas constou 
como existente e nunca recebeu implemen- 
tação ou foi implantada de forma deficien- 
te, não é possível, nesse caso, atestar a prá- 
tica como ineficaz. 


Se a prática foi parcialmente eficaz, consi- 
derando que ela recebeu os meios necessá- 
rios da organização para o seu exercício, é 
necessário avaliar o que mudou na conjun- 
tura interna e externa da organização para 
reajustá-la ao novo cenário. 


Pode não ter havido mudança alguma na 
conjuntura, do que se conclui que a eficá- 
cia parcial da prática decorre de algum de- 
sacerto na sua implantação original. Nesse 
caso, deve-se revisar a sua concepção, cor- 
rigindo as falhas e reforçando as fraquezas. 


Como última possibilidade, caso a prática 
venha cumprindo o seu papel, cabe avaliar 
se seria possível manter a sua eficácia com 
algum relaxamento. Pode ser que a prática 
esteja superdimensionada, considerando as 
necessidades, provocando burocracia des- 
necessária. Se for este o caso, então algum 
alívio não prejudicaria a sua eficácia, mas 
demandaria menos esforço da organização. 
Não significa que se deva descuidar dela, 
mas tentar elevar a eficiência utilizando me- 
nos recursos. 


As alterações promovidas por essa reava- 
liação podem demandar capacitação de 
pessoal para atender às mudanças pratica- 


das. Essa necessidade deve ser considerada 
para efetivação das práticas alteradas. 


A periodicidade do monitoramento geral 
deve ser decidida pela organização, consi- 
derando a velocidade das mudanças obser- 
vadas na sua conjuntura e a constatação de 
casos de fraude e corrupção que identifica. 
Outro requisito importante é que quem 
avalia o monitoramento geral precisa ter 
competência organizacional para determi- 
nar ou implantar as mudanças que forem 
necessárias, sob pena do monitoramento 
geral falhar em seu propósito, que é reade- 
quar a organização para o combate da frau- 
de e corrupção. 


Todas as práticas devem ser questionadas quanto à sua eficiência e 


eficácia. Dependendo de sua natureza e das mudanças ocorridas na 


conjuntura da organização, uma prática pode não ser mais pertinente, 


devendo ser eliminada. Uma prática que não cumpre o seu papel 


gera apenas esforço da organização, sem contrapartida alguma. 
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ANEXOS 


Anexo 1 — Relação entre Coso e gestão de risco de fraude 


Extraído de Managing the business Risk of Fraud: a Pratical Guide, do IIA (2008). 


Componente Coso Gestão de risco de fraude 


= Estabelecer tone at the top adequado e cultura organizacional; 


= Documentar as estratégias de controle de fraude, código de ética 
e conduta, seleção de pessoal e normas de promoção; 

= Estabelecer, reforçar ou avaliar as funções da auditoria interna; 

= Desenvolvimento de currículo e promoção de treinamento; 


Ambiente de controle = : . . 
= Desenvolver uma política e metodologia para investigar o potencial 


de ocorrência de fraudes; 
= | Investigação de denúncias e suspeitas de fraudes; 
= Promover controles para prevenir, impedir e detectar a fraude; 


= Implementação e manutenção de um canal de denúncias. 


= Estabelecer processo de avaliação de risco de fraude que considere 


fatores de risco de fraude e esquemas fraudulentos; 


Avaliação de risco de fraude A , 
S = Envolver o pessoal adequado no processo de avaliação de risco de fraude; 


= Avaliações de risco de fraude em bases regulares. 


= Definir e documentar controles mitigatórios e relacionados aos riscos 
de fraudes identificados; 


zAtividades de controle antifraude = Modificação de controles existentes, concepção e implementação 
de controles preventivos e detectivos, e implementação de tecnolo- 
gias de apoio. 


= Promover a importância do programa de gestão de risco de fraude e 
a posição da organização sobre o risco de fraude, tanto interna como 


Informaçã municaçã p e . 
olmaçaão e comunicação externamente, através de programas de comunicação corporativa. 


=» Concebere fornecer treinamento de sensibilização para a fraude. 


= Fornecimento de avaliação periódica dos controles antifraude; 


= Usar avaliações independentes do programa de gestão de risco de 
Atividade de monitoramento fraude, auditoria interna ou de outras fontes; 


= Implementação de tecnologia para auxiliar no monitoramento e 
detecção contínua de atividades. 
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Anexo 2 — Exemplo de matriz para avaliação do recebimento de presentes 


Extraído do Guia de avaliação de risco de corrupção da agência United Nations Global 
Compact Office (2013). 


B. Matriz de pontuação do processo de rastreamento de presentes, hospitalidade e entretenimento 


Pontuação Peso 
Critérios de classificação Cimuleaa (Muito importante: 3 x rs É 
# e amostra de ps Edi Guia de critérios de pontuação 
pontuação Importante: 2, 
inserida) Menos importante: 1) 
Todos, independente do valor - 3, 
1 A empresa rastreia presentes 3 3 Alguns (por exemplo, acima 
recebidos por seus funcionários? do valor limite) - 2, 
Não -1 
A empresa rastreia Todos, independente do valor - 3, 
2 entretenimento/hospitalidade q 2 Alguns (por exemplo, acima 
fornecida para os seus do valor limite) - 2, 
funcionários? Não - 1 
Todos, independente do valor 
ou beneficiário - 3, 
A empresa rastreia presentes Alguns (por exemplo, acima do 
3 | fornecidos por seus 1 3 valor limite ou fornecido para certo 
funcionários para terceiros? tipo de beneficiário, por exemplo, 
funcionários de governo) - 2, 
Não - 1 
Todos, independente do valor 
; ou beneficiário - 3, 
A empresa rastreia 
À aai Alguns (por exemplo, acima do 
4 E 2 2 valor limite ou fornecido para certo 
ornecida por seus > ficiári | 
funcionários para terceiros? ida bene T 
uncionários de governo) - 2, 
Não - 1 
Todos, independente do valor ou 
beneficiário - 3, 
Presentes, hospitalidade Alguns (por exemplo, acima do 
5 e entretenimento exigem 2 2 valor limite ou fornecido para certo 
aprovação antecipada? tipo de beneficiário, por exemplo, 
funcionários de governo) - 2, 
Não - 1 
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B. Matriz de pontuação do processo de rastreamento de presentes, hospitalidade e entretenimento 


Critérios de classificação 
de controle 


Se a resposta for SIM para a p5, 
essa solicitação de aprovação 
exige análise e aprovação 

por conformidade ou função 
legal? (Ou seja, quem analisa 

e aprova as solicitações do 
funcionário para presentes, 
hospitalidade e entretenimento?) 


Na ausência de aprovação formal 
antecipada para presentes, 
hospitalidade e entretenimento 
fornecidos para terceiros, o 
processo de rastreamento exige 
divulgação “retroativa”? 


Pontuação 
(simulada/ 

amostra de 
pontuação 
inserida) 


2.5 


Peso 
(Muito importante: 3, 
Importante: 2, 
Menos importante: 1) 


Guia de critérios de pontuação 


Sim, para todas as solicitações; 1-2 
assinaturas de aprovação incluindo 
compliance ou jurídico exigidos - 3 
Sim, para solicitações acima de um 
certo limite ou para tipos específicos 
de beneficiário; 1-2 assinaturas de 
aprovação necessárias, incluindo 
uma de compliance; outras 
solicitações precisam de uma 
assinatura de aprovação (ou seja, 
de um supervisor) - 2.5 Sim, para 
solicitações acima de um certo 
limite ou para tipos específicos 

de beneficiário; no mínimo 

duas assinaturas de aprovação 
necessárias, incluindo uma de 
compliance; para outras solicitações, 
nenhuma aprovação necessária - 2 
1.5 Apenas acima de um certo 
limite ou para certos tipo de 
beneficiário, com uma assinatura de 
aprovação (por exemplo, supervisor 
de algum beneficiário) - 1.5 Não - 1 


Todos, independente 
de valor - 3, 


Alguns (por exemplo, acima 
de um valor limite) - 2, 


Não - 1 
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B. Matriz de pontuação do processo de rastreamento de presentes, hospitalidade e entretenimento 


Pontuação Peso 

Critérios de classificação fsimulada/ (Muito importante: 3 r aa s 

# E amostra de | p ' Guia de critérios de pontuação 

pontuação mpeniainines j 
inserida) Menos importante: 1) 

Na ausência de aprovação 

formal antecipada (ou Todos, independente 

quando a aprovação não foi de valor - 3, 

8 solicitada), o processo de 3 2 . 
rastreamento exige divulgação Alguns (por exemplo, geina 
“retroativa” para presentes e de um valor limite) - 2, 
entretenimento recebidos de Não - 1 
terceiros pelos funcionários? 

Sim, exigido para todos os 
O processo ou ferramenta presentes, hospitalidade e 
exige ou permite a verificação entretenimento acima de certos 

9 de terceiros de acordo com 3 1 limites (ou outros critérios), 

a base de dados de “parte discricionários para outros- 2.5 Sim, 

politicamente exposta” (PEP)? discricionário apesar do critério - 2 
Não - 1. 

Para todos os presentes e 

entretenimentos fornecidos 

para terceiros, o processo exige 

ser pago com os fundos da 

empresa (por exemplo, cartão 

de crédito da empresa, ou seja, Sim - 3 Alguns, mas nem todos, ou 

10 | nenhuma despesa pessoal é 2 1 algumas vezes mas não sempre - 2, 
permitida para negócios relativos Não - 1 
a presentes, hospitalidade e 
entretenimento para clientes, 
fornecedores, parceiros de 
negócios, provedores de serviços 
e outras partes correlatas). 
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ANEXOS 


B. Matriz de pontuação do processo de rastreamento de presentes, hospitalidade e entretenimento 


Pontuação 


a Peso 
AR S simulada 
Critérios de classificação (Muito importante: 3 ; ‘téri z 
# E amostra de i 2 l Guia de critérios de pontuação 
pontuação mporene: b 
inserida) Menos importante: 1) 
O processo de rastreamento é a : 
11 p É aa 3 1 Sim - 3, Mais ou menos - 2, No - 1 
automatizado e fácil de usar. 
O processo de rastreamento e 
s requisitos correlatos foram : É 
2: | SS esa o a oara 3 2 Sim- 3, Mais ou menos - 2, No- 1 
claramente comunicados a todos 
os funcionários relevantes. 
Sim - 3, Mais ou menos (por 
O Procase Degas ameno exemplo, presente ga mas 
permite rastreamento cumulativo E 
ficiári não recebido, apenas presentes 
13 | por beneficiário e provedor 3 2 é > 
à e não entretenimento, algumas 
de presente e entretenimento, : o 
além de suaemprésá unidades de negócios, mas 
É não outras, etc.) - 2, Não - 1 
14 O processo de rastreamento 2 Sim - 3, A maior parte da empresa - 
cobre toda a empresa? 2, Uma parte menor da empresa - 1 
Há consequências 
15 | disciplinares por não seguir 1 2 Sim - 3, Talvez - 2, Não - 1 
p p g 
o processo estabelecido? 
O processo de rastreamento Sim, periodicamente e com escopo/ 
16 | SAS ferramentas associadas 1 2 profundidade adequado - 3 


são avaliados periodicamente 
por eficiência? 


Sim - com pouca frequência e/ou 
escopo limitado - 2 Não- 1 


PONTUAÇÃO PONDERADA TOTAL (escala de 1 a 3) 
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2.35 


Anexo 3 — Exemplo de questionamentos quanto ao plano de combate a fraude 
e corrupção 


A alta administração e alta gerência devem constantemente fazer os questionamentos abaixo: 


QUEM 
Quem analisa e avalia o plano de combate a fraudes? 
Quem não fez o treinamento de conscientização antifraude? 
Quem analisa os riscos de fraude em minha organização/programa? 


O QUÊ 
Quais são os indutores de risco de fraude no nível da organização e de programas? 
Qual é o meu papel no controle da fraude? 
O que é uma resposta apropriada aos riscos de fraude na minha organização/programa? 


QUANDO 
Quando eu me envolvo nas estratégias de prevenção e detecção de fraude? 
Quando denunciamos fraudes na organização? 
Quando vamos analisar as atividades de fraudes? 


ONDE 
Onde posso encontrar a política antifraude da minha organização? 
Onde está a orientação sobre como denunciar fraudes na minha organização/programa? 
Onde posso consultar questões de fraudes graves e complexas? 


POR QUÊ 
Por que a nossa organização/programa corre o risco de fraude? 
Por que a governança é tão importante para um controle eficaz da fraude? 
Por que os nossos riscos de fraude não foram revisados quando a nossa estrutura 
organizacional mudou? 


COMO 
Como faço para garantir que os riscos de fraude estão contemplados na concepção 
do programa? 
Como eu sei que nossas estratégias antifraude estão funcionando em minha 
organização/programa? 
Como a minha organização decide se uma suspeita de fraude será investigada? 
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Anexo 4 — Exemplo de matriz de avaliação da política anticorrupção 


Extraído do Guia de avaliação de risco de corrupção da agência United Nations Global 


Compact Office (2013). 


C. Matriz de pontuação da política anticorrupção 


Pontuação Peso (Muito 
Critérios de (simulada/ importante: 3, 
# classificação amostra de Importante: Guia de critérios de pontuação 
de controle pontuação 2, menos 
inserida) importante: 1) 
Sim, uma política única global ou uma 
combinação de políticas local e global - 3, 
Sim, políticas locais apenas onde 
1 A dai o ROE 3 3 necessário - 2, Sim, políticas locais apenas 
política anticorrupção? E . 
em alguns, mas não em todos os locais 
expostos-1.5, Não (se não, responda 
“não” para todas as perguntas abaixo) - 1 
; Incluída no código de conduta mais um 
2 Qua! RS formata 3 2 documento autônomo (mais detalhado - 3, 
da política? dice ai 
Apenas incluída no código de conduta - 1 
O conteúdo da 
política é adequada Sim - 3, Mais ou menos - 2, Não - 1 
e suficientemente Observação: se a política só está 
3 abrangente (ou seja, a 2 3 disponível como um capítulo do código 
política aborda todas de conduta, veja se o conteúdo é 
as questões/tópicos suficientemente abrangente para comunicar 
pertinentes com as expectativas de comportamento. 
detalhe suficiente)? 
A linguagem da 
política é clara, legível 
4 e consistente> É fácil 2 2 Sim - 3, Mais ou menos - 2, Não - 1 
de entender para o 
funcionário médio? 
A política é bem 
5 organizada e 2 2 Sim - 3, Mais ou menos - 2, Não - 1 
estruturada? 
Não permitido, exceto nas situações 
de perigo de vida - 3, Geralmente não 
Qual é a posição permitido, exceto quando houver permissão 
6 da política sobre 2 3 prévia, por escrito - 2.5, Geralmente 


pagamentos de 
facilitação? 


permitido, em circunstâncias definidas, 
sem necessidade de permissão prévia, por 
escrito - 1.5 Permitido - 1 Indefinido - 1 
Varia dependendo do local - 1.5 
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C. Matriz de pontuação da política anticorrupção 


Pontuação Peso (Muito 
Critérios de (simulada/ importante: 3, 
# classificação amostra de Importante: Guia de critérios de pontuação 
de controle pontuação 2, menos 
inserida) importante: 1) 
Se houver versões 
da política local Geralmente, sim - 3, Mais ou menos, mas 
diferentes, elas são algumas são mais restritivas que o padrão 
7 consistentes com a 2.5 q geral da empresa - 2.5, Mais ou menos, 
política corporativa, e/ mas algumas são mais lenientes do que o 
ou entre si em termos padrão geral da empresa - 1.5, Não - 1 N/A 
de padrões, conteúdo já que temos uma única política global - 3 
e apresentação? 
as ; Sim, em todos ou na maioria dos países 
A política está 3 a 
É z onde a empresa opera, inclusive nos 
8 disponível E 3 3 principais locais de risco - 3, 
línguas onde a x 
empresa opera? m alguns, Doaa todos o 
principais locais de risco - 2, Não - 1 
A política é 
facilmente acessível 
na intranet da 
9 empresa por 3 2 Sim - 3, Mais ou menos - 2 Não - 1 
segmentos de 
funcionários 
relevantes? 
A política tem sido 
bem comunicada 
10 | para grupos de 3 3 Sim - 3, Mais ou menos - 2 Não - 1 
funcionários 
relevantes? 
Há um processo 
de confirmação da 
política que envolve Sim, todos os funcionários relevantes - 3, 
11 funcionários relevante 3 2 Alguns, mas não todos os funcionários 
periodicamente relevantes - 2, 
(por exemplo, Não - 1 
anualmente, ou a 
cada 2 ou 3 anos)? 
A política é analisada 
e atualizada Sim - 3 Algumas, mas não todas, ou 
12 | periodicamente 2 1 algumas vezes, mas não sempre - 2 


(por exemplo, a 
cada 2 ou 3 anos)? 


Não -1 


PONTUAÇÃO PONDERADA TOTAL (escala de 1 a 3) 


2.25 
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Anexo 5 — Exemplo de plano de combate a fraude e corrupção 


1. Súmario executivo 

. Definição de fraude 

. Compromisso com o combate a fraude e corrupção 
Código de conduta 

. Relação do plano com outras políticas da organização 

. Papéis e responsabilidades 


von To 


2. Estratégia de combate a fraude 

. Estabelecimento de função antifraude 

. Responsabilidade pelos controles antifraude 
Responsabilidade de gestão de risco de fraude 

. Conscientização contra fraude 

. Prevenção da fraude 
Detecção da fraude 

. Reportando a fraude 

. Investigação da fraude 


Fzo+r+oonTo 


3. Gestão de risco de fraude 
a. Programa de gestão de risco de fraude 
b. Revisão das estratégias e controles antifraude 
c. Avaliação da gestão de risco 
d. Implementação das propozstas de ações 
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4. Procedimentos de notificação de fraude 
a. Implementação de canal de denúncia 
b. Análise das denúncias 
c. Sigilo dos denunciantes 


5. Seleção de pessoal 
a. Verificação de antecedentes 
b. Capacitação antifraude 


6. Conflito de interesse 
a. Normatização de situações de conflito 
b. Campanha de conscientização 
c. Análise das condutas identificadas ou comunicadas 


7. Procedimento de investigação 
a. Plano de resposta à fraude 
b. Análise preliminar de notificação de fraude 
c. Estabelecimento de equipe de investigação 


8. Estratégia da auditoria interna 
a. Plano de auditoria interna 
b. Revisão dos controles internos antifraude 
c. Detecção e apuração de fraudes 
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Anexo 6 — Exemplo de matriz de responsabilidade 


Exemplo adaptado do Institute of Internals Auditors (2008). 


Exemplo de Matriz de responsabilidade de plano de prevenção e combate a fraude e corrupção 


Ado ReerakE Unidade Auditoria Alta r Comissão : Setor 
Antifraude interna administração de ética financeiro 

1. Controles preventivos S S P S 
2. Notificação de incidente P S S S 
3. Investigação de fraudes P S 
4. Recuperação de desvios 
ps a é i i É 
6. Revisão de controles internos P 
7. Publicidade e notas à impressa S S 5 
8. Controles preventivos S S S S 
9. Ações legais S S 
10. Ações corretivas S S 9 
11. Monitorar recuperação de desvios S S S P 
12. Controles Detectivos C S S 

3. Treinamento antifraude P S C 

4. Análise de risco S s 

de vulnerabilidades 

5. Questões de ética S S S P 

6. Canal de denúncias P S S 

7. Plano de respostas à fraude P S S 


P - responsável primário S - responsável secundário C - responsabilidade compartilhada 
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Exemplo de Matriz de responsabilidade de plano de prevenção e combate a fraude e corrupção 


Unidade ; 
Alta de Assessoria 
Ação Requerida a = de Jurídico | Recursos Humanos 
Gerência gestão eau 
: comunicação 
de risco 
1. Controles preventivos Cc S S S S 
2. Notificação de incidente S S S S S 
3. Investigação de fraudes S $ 
4. Recuperação de desvios P C 
5. Recomendações para S S S S s 
prevenir fraudes 
6. revisão de controles internos 
7. Publicidade e notas à impressa P 
8. Controles preventivos P S 
9. Ações legais P 
10. Ações corretivas P S 
11. Monitorar recuperação de desvios 
12. Controles Detectivos P 
13. Treinamento antifraude S 
14. Análise de risco de c p 
vulnerabilidades 
15. Questões de ética S 
16. Canal de denúncias S 
17. Plano de respostas à fraude 


P - responsável primário S - responsável secundário C - responsabilidade compartilhada 
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Anexo 7 — Exemplo de fluxograma para tratamento de fraudes e corrupções 


ANEXOS 


Conduta 
antiética com 
indício de fraude 


DETECÇÃO DE FRAUDE 


Denúncia 
realizada no 
canal de denúncia 


Indício de fraude 
identificada pela 


auditoria interna 


Indício de fraude 
identificado pelo 
gestor 


1 
Identificada pela |; 
comissão de ética |! 

1 


1 1 
f 1 
: Análise de i 
: admissibilidade ! 
1 1 
f 1 


há 


do prejuízo 


ESEC FERE 5 
` 1 
1 1 , 
4 i E Investigado pela ` 
i ! 5 própria auditoria % 
' v g `A interna? 
E N Asabe Æ não , 
a 1 
E 1 
3 ! Avaliação inicial i Z 
1 a de incidente ' E Não Investigado pelo 
poa ı¢--------- O das E sais sis x k 9 p > 
E i i próprio gestor? 
ME E aj a E = i 
f É 
A ! Sim 
Atividades da i í i 
unidade de gestão sasa i Y e 
de risco de fraude O DSR A Net E STS ! 1 
o EA ! 1 Sim 
no e . 1 1 Apuração pela 1 i 
La Estabelecer time i ! PR ! v 
pad À x ! 1 auditoria interna 1 rasa se Ni ss S 
boa de investigação i ; 1 l j 
1 1 
ie di 1 i i 1 i 
1 1 EEE rER 3 1 
' ESE FERE 3 i ı | Apuração pelo gestor 
! 
i 1 1 
: $ 1 1 1 
! ' i EE se SEpesree dem 
i M Y i 
H DE rs E EE ES E $ 
poi ' i 
1 1 
i i x 1 Identificação de 1 
t- -~ | Executar investigação - >» | responsáveis e cálculo | 1 %----------- i 
f 
1 
f 
f 


Ten 


CORREÇÃO Medidas 
administrativas e 
judiciais para punição e 
recuperação das perdas 
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Anexo 8 — Exemplo de avaliação de 
risco de fraude e corrupção 


Adaptado da proposta do Institute of Inter- 
nal Auditors para uma avaliação de risco de 
fraude (2008). 


Partindo-se do item “a”, monta-se uma tabe- 


la na qual todos os demais itens são respon- 


didos para cada risco de fraude identificado. 


Riscos de fraudes identificados: deve 
incluir uma lista completa dos poten- 
ciais riscos e esquemas de fraudes que 
a organização possa sofrer. Essa lista 
será diferente para diferentes organi- 
zações e deve ser elaborada a partir 
de pesquisas setoriais, entrevistas com 
servidores e partes interessadas, e his- 
tórico do canal de denúncia. 


Probabilidade de ocorrência: para ela- 
borar um programa eficiente de gestão 
de risco de fraude, é importante avaliar 
a probabilidade de cada um dos riscos 
de fraude identificados, para que a or- 
ganização estabeleça controles anti- 
fraude adequados aos riscos que são 
mais prováveis. Para efeitos de avalia- 
ção, é adequado avaliar as probabilida- 
des de risco como remotas, razoavel- 
mente possíveis e prováveis. 


Significância para a organização: 
fatores quantitativos e qualitativos 
devem ser considerados para a ava- 


liação da significância do risco de 
fraude para uma organização. Por 
exemplo, certos riscos de fraude po- 
dem representar apenas um irrelevan- 
te risco financeiro para a organização, 
mas podem indiretamente impactar 
consideravelmente a sua reputação e, 
portanto, seriam considerado riscos 
mais significativos. Para efeitos de 
avaliação, deve ser suficiente avaliar 
a significância dos riscos como imate- 
rial, significativa e material. 


Pessoas ou áreas sujeitas ao risco: com 
os riscos de fraude identificados e 
avaliados, é importante avaliar quais 
as pessoas ou áreas, dentro e fora da 
organização, estão sujeitas a esses ris- 
cos. Esse conhecimento vai ajudar a or- 
ganização na sua resposta ao risco de 
fraude, incluindo o estabelecimento 
apropriado de segregação de funções, 
rotação de pessoal, hierarquia de apro- 
vação e auditoria contínuas. 


Controles internos antifraude vigentes: 
mapeamento dos controles pré-exis- 
tentes aos riscos de fraude relevantes 
identificados. Note-se que isso ocorre 
depois que os riscos de fraudes são 
identificados e avaliados quanto à pro- 
babilidade e significância. Progredindo 
nessa ordem, esse modelo pretende 
que a organização avalie os riscos de 
fraudes identificados como inerentes 
ao negócio, ou seja, sem a considera- 
ção dos controles internos. 
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= Avaliação da efetividade dos controles 
internos: a organização deve ter um 
processo para avaliar se os controles 
identificados estão funcionando de 
forma eficaz e mitigando os riscos de 
fraudes conforme previsto. 


= Riscos residuais: após o exame da 
estrutura de controle interno, a con- 
clusão pode ser que certos riscos de 
fraude não estão sendo mitigados 
adequadamente por vários fatores, in- 
cluindo certos controles previstos não 
estarem implementados ou operarem 
deficientemente. Tais riscos residuais 
devem ser avaliados pela organização 
no desenvolvimento da resposta ao 
risco de fraude. 


= Resposta ao risco de fraude: riscos 
residuais devem ser avaliados pela 
organização, e uma resposta ao ris- 
co de fraude deve ser proposta para 
endereçar cada risco residual. A res- 
posta ao risco de fraude pode ser 
uma combinação da implementação 
de controles, auditoria contínua ou 
abandono da atividade. 
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Anexo 9 — Exemplo de análise de risco de corrupção 


Extraído do Guia de avaliação de risco de corrupção da agência United Nations Global 
Compact Office (2013). 


Local/região: país A 


Unidade de negócio: negócio XYZ 


Fator de risco de corrupção Clima de negócios local 


Risco de corrupção 


Suborno de funcionário 
público para garantir, reter 
ou influenciar uma decisão 
de negócios imprópria. 


Esquema de corrupção 


a. Pagamentos potenciais 
impróprios para 
funcionários de alfândega 
para facilitar processos 
relativos a importação 
de produtos ou para 
liberar a importação 
de produtos ilegais. 


Pagamentos 
potenciais 
impróprios para 
autoridades fiscais 
para garantir 

a redução ou 
eliminação de 
passivos fiscais. 


Pagamentos potenciais 
impróprios para funcionários 
de governo para garantir 
uma parcela desejada de 
propriedade ou termos de 
arrendamento favoráveis. 


Probabilidade Média Média Média 
Impacto Potencial Alto Alto Alto 
Risco Inerente Alto Alto Alto 


Controle anticorrupção 


= Procedimentos e política 
global anticorrupção, in- 
cluindo conteúdo espe- 
cífico sobre pagamentos 
para alfândega 


* Treinamento anticorrup- 
ção para funcionários, 
desenhado especifi- 
camente para regiões 
selecionadas e funções 
essenciais 


= Linha direta de delação 
global 


= Auditorias anticorrupção 
anuais sobre pagamen- 
tos para funcionários da 
alfândega em regiões/ 
países selecionados 


Procedimentos 

e política global 
anticorrupção, in- 
cluindo conteúdo 
específico sobre 
pagamentos para 
autoridades fiscais 


Treinamento an- 
ticorrupção para 
funcionários, dese- 
nhado especifica- 
mente para regi- 
ões selecionadas e 
funções essenciais 


Linha direta de 
delação global 


Auditorias anticor- 
rupção anuais sobre 
pagamentos para 
autoridades fiscais 


Procedimentos e política 
global anticorrupção, incluin- 
do conteúdo específico sobre 
pagamentos para funcioná- 
rios de governo por arrenda- 
mentos de propriedade 


Treinamento anticorrupção 
para funcionários, 
desenhado especificamente 
para regiões selecionadas e 
funções essenciais 


Linha direta de 
delação global 


Auditorias anticorrupção 
anuais sobre interações/ 
transações com funcionários 
de governo para garantir ar- 
rendamentos de propriedade 


Classificação do 
controle de mitigação 


Eficiente 


Eficiente 


Eficiente 


Risco Residual 


Baixo 


Baixo 


Baixo 
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Anexo 10 — Processo de avaliação de 
risco de fraude pela norma AS 8001- 
2008: fraud and corruption control 


Traduzido da norma AS 8001-2008: Fraud 
and corruption control (STANDARDS AUS- 
TRALIA, 2008) 


3.6.3 Processo de avaliação de fraude e 
risco de corrupção 


3.6.3.1 Metodologias de avaliação de 
fraude e risco de corrupção 


As entidades que exercem uma avaliação 
de risco de fraude e corrupção têm tradicio- 
nalmente usado uma das três metodologias 
alternativas seguintes: 


a. Avaliação independente dos processos 
e procedimentos, incluindo uma série 
de entrevistas individuais com o pessoal 
relevante e revisão da documentação 
de controle interno. 


b. Um levantamento de risco de fraude e 
corrupção, pela emissão e análise de um 
questionário adaptado para a entidade ou 
para as unidades de negócios ou funções 
operacionais da entidade sendo avaliada. 


c. Uma oficina consultiva envolvendo o má- 
ximo de contribuições do pessoal da uni- 
dade de negócios que está sendo ava- 
liada, em que uma “equipe de avaliação 
de risco” formada por cada unidade de 
negócios identifique e avalie os riscos re- 
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levantes para o negócio-unidade. 


Essas abordagens sugeridas são coerentes 
com as orientações estabelecidas no HB 
436:2004, que propõe as seguintes quatro 
metodologias alternativas para a identifica- 
ção de risco organizacional: 


1. brainstorming em equipe. 


2. técnicas estruturadas, tais como grá- 
ficos de fluxo, revisão do projeto do 
sistema, análise de sistemas, Hazard 
e estudos de operabilidade (Hazop) e 
modelação operacionais. 


3. Para situações menos claramente defini- 
das, tais como a identificação de riscos 
estratégicos, podem ser usados proces- 
sos de estrutura mais geral como “what 
if” e análise de cenários. 


4. Quando os recursos são limitados, uma 
abordagem mais flexível pode ter de ser 
utilizada, como, por exemplo, uma que 
se concentre em um menor número de 
elementos-chave ou usando uma abor- 
dagem de checklist. 


A escolha da abordagem mais adequada 
(ou uma combinação de abordagens) de- 
penderá de uma série de fatores, incluindo 
orçamento, disponibilidade de tempo dos 
participantes, urgência, e restrições geográ- 
ficas e estruturais. 


Em relação a cada risco identificado, a AS/ 


NZS 4360: 2004 requer que o processo de 
avaliação inclua: 


i. avaliação preliminar dos riscos que fo- 
ram identificados, a fim de considerar 
quais riscos devem ser objeto de análise 
mais detalhada; 


ii. a avaliação de processos, dispositivos 
existentes ou práticas (controles inter- 
nos) que agem para minimizar os riscos; 


iii. uma avaliação das consequências para a 
entidade se o risco ocorresse; 


iv. uma avaliação da probabilidade de ocor- 
rência do evento no contexto das estraté- 
gias e controles existentes, e 


v. uma estimativa do nível de risco atra- 
vés da combinação das consequências 
e probabilidades. 


O objetivo final do processo de avaliação de 
riscos será uma compreensão dos riscos de 
fraude e corrupção que a organização sofre, 
servindo como uma base para desenvolver 
e implementar itens de ação que visem uma 
maior mitigação dos riscos. 


O resultado a partir de uma consideração 
desses parâmetros poderia ser um gráfico 
no formato mostrado no Apêndice B, em 
que cada risco é representado graficamente 
de acordo com a sua probabilidade relativa 
de ocorrência e suas consequências para a 
entidade se a fraude ou corrupção ocorres- 


se. Enquanto alguma forma de representa- 
ção gráfica dos riscos identificados é con- 
siderada vantajosa, outros formatos além 
do mostrado no Apêndice B poderiam ser 
usados e seriam igualmente válidos. 


3.6.3.2. Etapas do processo de avalia- 
ção de risco 


Detalhes de cada um dos passos do proces- 
so de avaliação do risco, tal como estabele- 
cido na figura, tendo em conta a aplicação 
do processo para a avaliação de risco de 
fraude e corrupção, como seguem: 


(A) Estabelecer o contexto 


Para uma avaliação de risco ser eficaz, ela 
precisa ser conduzida com uma completa 
consideração do contexto em que uma en- 
tidade opera. Isso envolverá obter da enti- 
dade uma compreensão de: 


= contexto externo, que defina a relação 
entre a entidade e seu ambiente exter- 
no, incluindo a consideração da natu- 
reza das ameaças que a entidade en- 
frenta, motrizes da fraude e corrupção 
dentro do setor e ambiente em que a 
entidade opera, e requisitos jurisdicio- 
nal e regulamentar; 


= contexto interno, que proporcione uma 
compreensão da entidade, incluindo 
consideração da natureza do negócio, a 
sua cultura, as principais partes interes- 
sadas, incidentes de fraude e corrupção 
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e tendências históricas, principais im- 
pulsionadores de negócios, os seus sis- 
temas de informação e o funcionamen- 
to do seu ambiente de controle; 


= contexto de gerenciamento de risco, 
que envolve a determinação do escopo, 
limites e parâmetros das atividades de 
gestão de riscos de fraude e corrupção 
a serem empreendidas; 


= critérios de risco, pelo qual cada risco será 
avaliado para determinar se pode ser to- 
lerado ou se necessitará de tratamento; e 


= Abordagem e estrutura para o resto da 
gestão de risco de fraude e corrupção a 
realizar processo. 

= documentar o estabelecimento do 

contexto é uma boa prática empresa- 

rial que deve ser seguida sempre quan- 

do possível. 


(B) Identificar os riscos 


O objetivo da identificação de riscos é de- 
senvolver uma lista de riscos de fraude e 
corrupção, bem como suas fontes, que po- 
deriam ter um impacto sobre a realização 
dos objetivos da entidade. Uma lista abran- 
gente de riscos deve ser criada, indepen- 
dentemente de eles estarem sob o controle 
da entidade ou não. Tal lista é comumente 
referida como um registro de riscos, que 
deve ser documentado com detalhes sufi- 
cientes para facilitar a posterior análise e fu- 
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turas avaliações de fraude e corrupção. 


Várias abordagens podem facilitar em gran- 
de medida uma melhor compreensão das 
fontes de riscos, incluindo: 


"= o mapeamento dos processos de negó- 
cios em consulta com os proprietários e 
“operadores” desses processos; 


= definição de um modus operandi plausi- 
vel dos potenciais incidentes de fraude 
e corrupção; e 


= exame dos resultados de investigações 
anteriores de fraude e corrupção cons- 
tantes dos estudos de caso da entidade 
e de outras organizações. 


(C) Analisar os riscos 


A análise de risco é um mecanismo que 
possibilita uma melhor compreensão dos 
riscos, facilitando, em última análise, uma 
melhor análise das opções de tratamento. 
A análise do risco envolve uma análise das 
consequências desses riscos e suas respecti- 
vas probabilidades em função da eficácia da 
gama de controles presentes. 


Uma análise preliminar do risco pode ser rea- 
lizada, servindo como um dispositivo de ras- 
treio para eliminar “baixos riscos” e permitir 
que a atenção e os recursos se concentrem 
em riscos maiores, para análise mais detalha- 
da e profunda, que será geralmente iniciada 
com uma análise da eficácia dos controles 


existentes na gestão desses riscos identifica- 
dos. A avaliação deve concluir, em relação a 
cada controle, se é ou possa vir a tornar-se: 

=" eficaz; 


=" parcialmente eficaz; ou 


=" ineficaz, na redução do risco de fraude 
ou corrupção relacionadas a eles. 


Controles que devem ser considerados in- 
cluem todos que possam afetar tanto a con- 
sequência quanto a probabilidade do risco 
de fraude ou corrupção, tais como: 

= requisitos e normas regulamentares; 

= quadros de cultura e comportamento ético; 


= políticas e práticas de governança; 


= práticas de recrutamento, incluindo tria- 
gem prévia e em emprego; 


= procedimentos operacionais padrão; 


=" práticas de reconciliação, de garantia e 
de auditoria; 


= práticas de segurança lógica e física, sis- 
temas e infraestrutura; 


= processos de relatórios de incidentes e 
investigação; e 


= monitoramento e relatórios de gestão. 


A avaliação de cada controle interno consi- 
derado não deve ser representada em ter- 
mos de sua capacidade de mitigar o risco 
do negócio em geral. Pelo contrário, essa é 
uma avaliação do impacto percebido que o 
controle exerce sobre a fraude específica ou 
risco de corrupção sob consideração. 


Na realização da análise dos riscos, mede- 
-se a consequência comumente com base 
no nível de perda financeira que poderia 
ocorrer, o que pode ser classificado tanto 
para as perdas de um único incidente quan- 
to para perdas acumuladas ao longo de um 
determinado tempo. No entanto, riscos de 
fraude e corrupção também podem dar 
origem a uma série de consequências não- 
-financeiras que também devem ser consi- 
deradas, incluindo as regulatórias, jurídicas, 
de segurança, desempenho dos negócios, 
confiança das partes interessadas, reputa- 
ção, bem-estar pessoal e impactos morais. 
Um incidente de fraude ou corrupção, por 
exemplo, poderia ter consequência finan- 
ceira menor imediata, mas a longo prazo 
uma significativa erosão do valor da marca. 


A probabilidade de um evento de fraude 
ou corrupção é medida tendo em conside- 
ração a consequência de o risco ocorrer. 
O contexto determinará em grande parte 
a escala de probabilidade que deve ser 
usada. Por exemplo, uma tabela pode se 
embasar no risco ao longo da vida da enti- 
dade, na duração da presença da entidade 
em mercados ou locais específicos, ou em 
outros períodos ou atividades. 
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Há uma série de outros fatores que devem 3. O impacto sobre a reputação da enti- 


ser considerados (geralmente específicos dade com partes interessadas, governo, 
para cada tipo de fraude e risco de cor- 
rupção) que podem ter um efeito sobre a 
probabilidade ou consequência, incluindo 


os seguintes: 


acionistas e sua reputação do negócio 
em geral: as consequências de tal inci- 
dente também incluem consequências 
não financeiras ou reputacionais que 
devem ser levadas em conta na avalia- 
Consequência para a entidade, se tivesse ção do impacto sobre a entidade. 


ocorrido o risco: 


O potencial valor da perda que seria so- 


Probabilidade de ocorrência do risco: 


frida pela entidade: a consequência de 4. O volume de transações associadas com 
um incidente de fraude ou corrupção do a função específica do negócio: quanto 
tipo contemplado será tipicamente um maior for o número de transações as- 
impacto financeiro na entidade. A conse- sociadas com uma função de negócio, 
quência financeira diretamente associada maior o risco relativo de fraude ou cor- 
a fraude ou corrupção do tipo contem- rupção associado a essa função. 
plado, se ocorreu, deve ser considera- 
da em relação a todos os outros riscos 5. Na medida em que a tecnologia está 
enfrentados pela entidade (ou seja, não envolvida nas transações associadas 
limita-se apenas ao impacto financeiro com a fraude ou risco de corrupção: 
provável que surgir na relação de outros transações que são fortemente depen- 
riscos de fraude ou de corrupção). dentes de tecnologia estão em maior 
risco de fraude do que aquelas que 
O impacto financeiro e não financeiro na envolvem o processamento manual, 
entidade ao investigar e lidar com as tí- porque o escrutínio humano detalha- 
picas violações do risco contemplado: o do de tais operações é muitas vezes 
valor potencial de perda deve também insuficiente ou requere um nível mui- 
considerar as “consequências legais” to mais elevado do que as operações 
que fluem de um incidente detectado de processadas manualmente. 
fraude ou corrupção, incluindo a respon- 
sabilidade dos administradores, a respon- 6. A natureza do benefício potencial para 


sabilidade por ações dos funcionários e 
as perdas de terceiros. Outros impactos 
financeiros incluem as perdas decorrentes 
da interrupção do negócio, diminuição no 
preço das ações e distração da gestão. 
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perpetradores: ativos atraentes, como 
dinheiro ou itens que podem ser facil- 
mente convertidos em dinheiro, são 
mais propensos a ser desviados do que 
os ativos menos atraentes, o que seria 


um indicativo de uma disposição maior 
ao risco de fraude. 


7. A incidência anterior do risco dentro 
da entidade: indiscutivelmente, quanto 
maior o número de casos do tipo dentro 
da entidade, maior a probabilidade de 
sua ocorrência. 


8. A incidência anterior do risco dentro 
do setor em que a entidade opera na 
economia em geral: quanto maior o 
número de incidentes do tipo no se- 
tor em que a entidade opera (ou na 
economia geral), maior a chance de 
que tal incidente ocorra dentro do 
próprio funcionamento da entidade. 


9. O estado atual da cultura de integridade 
da entidade (geralmente dentro da entida- 
de e especificamente dentro da unidade 
de negócios onde o risco foi identificado): 
fraude e corrupção são mais prováveis em 
entidades que têm uma cultura de integri- 
dade pobre. A cultura de integridade da 
entidade deve ser considerada separada- 
mente à sua cultura de controles internos, 
levada em conta quando se considera o 
risco de controle interno. 


O risco pode ser conduzido usando análise 
qualitativa (com base descritiva e métodos 
não numéricos), semiquantitativa (na qual 
valores são atribuídos a escalas descritivas) 
ou quantitativa (utilização de escalas nu- 
méricas), tanto para consequência quanto 
para probabilidade. 


Abordagens gráficas podem ser usadas 
para ilustrar posições relativas e auxiliar na 
posterior avaliação dos riscos. 


(D) Avaliação dos riscos 


Os riscos de fraude e corrupção são avalia- 
dos para facilitar as decisões sobre as ne- 
cessidades e prioridades para tratá-los. Tal 
tomada de decisão é guiada por esses crité- 
rios e desenvolvida como parte do estabe- 
lecimento de contexto nas fases iniciais do 
processo de gestão de riscos. Esses critérios 
podem incluir: 


= nível de risco avaliado; 
=" rankings relativos dos riscos; 


= possíveis consequências se o risco ocor- 
rer, ou o acumulado de consequências 
de vários eventos; 


=" probabilidade dos eventos ou dos seus 
resultados; 


= níveis de tolerância definidos; e 


= nível ou intervalo de incerteza na avalia- 
ção do risco. 


O resultado da avaliação deve apresentar 
riscos identificados que são toleráveis ou 
não e que necessitam de tratamento ou 
não. A avaliação pode, contudo, indicar 
que não há informação suficiente sobre 
qual decisão pode ser tomada nesse mo- 
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mento e que uma análise mais aprofunda- 
da é justificada. 


(E) Tratar os riscos 


Em “tratar os riscos” são tomadas as deci- 
sões sobre as opções de tratamento mais 
adequadas a serem usadas para cada risco 
de fraude ou corrupção. As opções de trata- 
mento devem considerar os resultados po- 
sitivos e negativos que podem surgir com 
a implementação de cada opção de trata- 
mento. Sempre que uma abordagem como 
"análise de custo-benefício” for usada para 
auxiliar a tomada de decisão, deve se tomar 
o cuidado de assegurar que tanto resulta- 
dos tangíveis (por exemplo financeiros) e 
não tangíveis sejam examinados. O leque 
de opções que a serem consideradas inclui: 


= evitar o risco, deixando de iniciar ou 
suspendendo atividades que o ensejem; 


=" alterar a probabilidade (reduzir) do 
evento ou de suas consequências ne- 
gativas ocorrerem, melhorando, por 
exemplo, as medidas de segurança de- 
fensivas; 


= alterar as consequências (reduzir nega- 
tivo, melhorar positivo) do evento, por 
exemplo, ter procedimentos robustos 
de detecção e investigação vigentes; 


= compartilhar o risco, por exemplo, através 


de seguros de garantia de fidelidade ou 
o seguro de interrupção de negócio; e 
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= manter o risco, por exemplo, através da 
aceitação do risco residual de outras ati- 
vidades tratadas. 


As decisões tomadas para avaliação e trata- 
mento do risco devem considerar o total de 
custo do risco da fraude ou corrupção sob 
consideração, incluindo aumentos ou redu- 
ções nos gastos com controles como resul- 
tado das opções de tratamento propostos, 
tais como: 


= perdas diretas e colaterais decorrentes 
caso ocorra o risco; 


= custos dos controles de antecipação 
existentes e opções de tratamento pro- 
postos, tais como: 
= avaliação contínua de risco; 
=" prevenção; 
= dissuasão; e 


= detecção. 


= Custos de reação a resposta ao ris- 
co devem resultar em: 


= Investigação de fraude ou corrup- 
ção; 


= Recuperação do valor perdido como 
resultado da efetivação do risco, in- 
cluindo quaisquer custos incorridos 
na questão legal; e 


= Restauração da capacidade e da ha- 
bilidade da entidade aos seus níveis 
pré-evento. 


Todas as ações propostas pela equipe de 
avaliação de risco devem ser validadas 
com a administração ou a gerência sê- 
nior, conforme apropriado, antes da im- 
plementação. É importante também de- 


senvolver uma estratégia que irá garantir 
implementação abrangente e prever uma 
verificação periódica do progresso. Esse 
processo será acompanhado se a respon- 
sabilidade pessoal for alocada no mo- 
mento do desenvolvimento do produto 
da ação. Essas estratégias geralmente 
formam a base do Plano de Controle de 
Corrupção e Fraude. 


Anexo 11 — Exemplo de matriz para avaliação de treinamento anticorrupção 


Extraído do Guia de avaliação de risco de corrupção da United Nations Global Compact 


Office (2013). 


A. Matriz de pontuação de treinamento anticorrupção 


Critérios de Pontuação 
# classificação (simulada/amostra de 
de controle pontuação inserida) 


O treinamento 


Peso (Muito 
importante: 3, 
Importante: Guia de critérios de pontuação 
2, menos 
importante: 1) 


1 anticorrupção visa 3 3 Todos - 3, Alguns - 2, Poucos - 1 
públicos relevantes? 
2 E fornecido em 2 3 Todas - 3, Algumas - 2, 


línguas pertinentes? 


Poucas ou Não - 1 


O treinamento 
3 anticorrupção é 1 
obrigatório? 


O treinamento está 

incluído na orientação 
de novos funcionários 
4 ou conduzido 2 
geralmente dentro de 
3 a 6 meses a contar 

do início do emprego? 


Sim, para todos - 3, 
2 Alguns funcionários - 2 
Não -1 


Sim, em 3 meses - 3, 


1 entre 3 e 6 meses - 2, 
depois de 6 meses - 1 


O treinamento é 
suficientemente 
conduzido 

periodicamente? 


Anual: - 3, A cada 2 anos - 2, 
A cada 2 + anos ou Não - 1 
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A. Matriz de pontuação de treinamento anticorrupção 


Peso (Muito 
Critérios de Pontuação importante: 3, 
# classificação (simulada/amostra de Importante: Guia de critérios de pontuação 
de controle pontuação inserida) 2, menos 
importante: 1) 
Boa - 3, Satisfatória - 2, Fraca - 1 
Observação: as considerações sobre 
qualidade podem incluir: a presença 
de tópicos relevantes essenciais, tom 
da alta administração, interatividade, 
facilidade de navegação, apresentação 
Qual é a qualidade visual, nível linguísticos, clareza 
6 do conteúdo 2 3 de conteúdo, etc.. Esses critérios 
de treinamento? podem ser pontuados formalmente 
e separadamente para atingir a 
pontuação de qualidade de conteúdo 
ou usados como guia de qualidade 
para o avaliador, para ajudá-lo a 
atribuir uma pontuação precisa a esses 
critérios de qualidade de conteúdo. 
O treinamento 
inclui um formulário 
7 de certificação 3 1 Sim - 3, Não - 1 
da política ou 
confirmação escrita? 
a | S renamento 3 2 Sim - 3, Não -1 
inclui teste? 
Os resultados 
do teste são i P 
9 3 1 Sim - 3, Não - 1 
acompanhados 
e mantidos? 
A conclusão do 
treinamento é 
10 acompanhada e 3 2 Sim - 3, Não - 1 
esses registros 
são mantidos? 
Qual é a taxa de 
11 conclusão do 3 3 Acima de 66% - 3, 33%-66% - 2, 


treinamento do 
público alvo? 


menos de 33% - 1 
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A. Matriz de pontuação de treinamento anticorrupção 


Peso (Muito 
Critérios de Pontuação importante: 3, 
# classificação (simulada/amostra de Importante: Guia de critérios de pontuação 
de controle pontuação inserida) 2, menos 
importante: 1) 
Há consequências 
ja | disciplinares por 1 1 Sim - 3, Não - 1 
não conclusão do 
treinamento? 
A conclusão do 
ga S Pan Sim - 3, Alguns (por exemplo, 
13 da avaliação de 1 1 E 
apenas gerentes) - 2, Não - 1 
desempenho anual 
do funcionário? 
Boa - 3, Média - 2, Fraca - 1 Obs.: 
Considerações sobre a qualidade 
podem incluir prazos anuais e 
estratégicos plurianuais, metas e 
Qüal&agualidade aS declarados, públicos meta 
14 doplano:dé 2 2 definidos, currículo detalhado, taxas 
treinamento escrito? de coneusag ea declaradas, 
frequência planejada, modalidade 
de entrega, escalas de instalação, 
indicadores-chaves de desempenho 
(KPIs), se o plano foi desenvolvido em 
consulta com outras funções, etc. 
A eficiência do 
desempenho 
15 do programa 1 2 Sim, no mínimo anualmente - 3, a cada 
de treinamento 2-3 anos -2 , a cada 3+ anos ou Não - 1 
é avaliada 
periodicamente? 
Os resultados 
da avaliação 
do programa 
16 de treinamento 1 1 Sim- 3, Não- 1 


são usados para 
modificar o escopo 
do programa de 
treinamento? 
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A. Matriz de pontuação de treinamento anticorrupção 


Peso (Muito 
Critérios de Pontuação importante: 3, 
# classificação (simulada/amostra de Importante: Guia de critérios de pontuação 
de controle pontuação inserida) 2, menos 
importante: 1) 
Boa- 3, Média- 2, Fraca- 1 
Qual é a qualidade Considerações sobre qualidade 
do relatório de podem incluir ver se os relatórios 
17 desempenho 2 1 são completados/ detalhados 
do programa de adequadamente, informam KPIs, 
treinamento? são regularmente fornecidos para a 
autoridade apropriada na empresa. 
Qual é a qualidade 
das iniciativas de 
comunicação que Boa- 3, Média- 2, Fraca- 1 (Observe 
acompanham que as considerações podem incluir 
o treinamento cobertura de tópicos, disponibilidade 
18 formal? (por 2 3 linguística, frequência, tom da 
exemplo, material alta administração, administração 
impresso, e-mails, intermediária, clareza de conteúdo e 
vídeos, podcasts, faixa dos veículos de entrega usados) 
blogs, recursos 
de intranet, etc.) 
O programa de Sim- 3, Mais ou menos- 2, Não- 1 
treinamento em (Observação: essa é uma pergunta 
geral é adequado de verificações e balanços A 
19 para criar boa 2 pontuação deve ser consistente 


conscientização da 
matéria em questão 
entre os funcionários 
relevantes? 


com as pontuações médias acima. 
As considerações podem incluir 
feedback do gerente/funcionário, 
e/ ou avaliação de outra parte) 


PONTUAÇÃO PONDERADA TOTAL (escala de 1 a 3) 


2.15 


En | E 144 | Referencial de Combate a Fraude e Corrupção 


Anexo 12 — Quesitos para avaliação do comprometimento da organização no 
combate a fraude e corrupção 


Para uma avaliação do sistema de prevenção e detecção de fraudes da organização, avalie 
cada questão ou atividade abaixo e julgue conforme a escala. Para as questões ou atividades 
que obtiverem nota vermelha ou amarela, um plano de ação deve ser elaborado visando 
trazê-las para o verde. Extraído e adaptado do Institute of Internal Auditors (2008). 


a Vermelho indica que a questão ou atividade precisa de reforço substancial para trazer o 
risco de fraude para níveis aceitáveis. 


P Amarelo indica que a questão ou atividade precisa de algum reforço para trazer o risco de 
fraude para níveis aceitáveis. 


E Verde indica a que questão ou atividade mantém o risco de fraude pelo menos abaixo do 
nível aceitável. 


Questão ou atividade para prevenção ou detecção de fraude 


A cultura da organização é forte o suficiente para estabelecer uma tolerância zero às fraudes. 


A alta administração demonstra consistentemente comportamento ético que 
inspire nos liderados confiança e o sentimento de intolerância a fraudes. 


O código de ética existe, é divulgado e é conhecido pelos servidores e partes interessadas. 


O código de conduta existe, é divulgado e é conhecido pelos servidores e partes interessadas. 


As condutas antiéticas são analisadas e sancionadas pela comissão de ética. 


Existe um plano de combate a fraude e corrupção aprovado pela alta administração. 


A gestão de riscos da organização leva em consideração o risco de 
fraude e analisa e recomenda controles ou sua melhoria. 


As estruturas descentralizadas, órgãos desconcentrados ou subsidiárias da 
organização possuem os mesmos controles preventivos da matriz. 


A auditoria interna leva em consideração o risco de fraude no plano de auditoria. 


A auditoria interna tem independência da alta gerência e se reporta diretamente à alta administração. 


A estrutura da auditoria interna é compatível com o porte da organização e atua seguindo 
os padrões profissionais, com pessoal com competência apropriada para as atividades. 


A auditoria interna conduz ou participa de investigações de potenciais casos de fraude. 


Existe política de segregação de função e rotação de pessoal 
que está em funcionamento e tem sido efetiva. 
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Questão ou atividade para prevenção ou detecção de fraude 


A gestão de recursos humanos analisa antecedentes para cargos de livre nomeação. 


Na capacitação de novos servidores e na capacitação periódica de todos estão incluídos 
aspectos de ética, integridade, conflito de interesse e prevenção da fraude. 


Os servidores e partes interessadas estão conscientes da política de tolerância zero à 
fraude e sabem o que fazer caso fiquem sabendo de alguma suspeita de fraude. 


As responsabilidades por prevenção e detecção estão definidas. 


Os sinais de alerta foram mapeados. 


Controles contínuos estão em operação para impedir ou alertar transações suspeitas. 


São utilizadas ferramentas de análise dadas para detectar transações anormais. 


Os indicadores de desempenho da organização incluem métricas 
que valorem os aspectos éticos e de integridade. 


Existem indicadores para monitorar a efetividade dos controles preventivos e detectivos. 


A alta administração monitora os resultados alcançados com os controles 
preventivos e detectivos e apoia as medidas necessárias para melhorá-los. 


Existe o canal de denúncia, que está em operação, e os servidores e partes interessadas sabem dele. 


O sigilo da denúncia e a proteção contra represália são do 
conhecimento de todos e efetivamente funcionam. 


As denúncias são analisadas e catalogadas num repositório. 


Existe unidade antifraude que está operacional e avalia e investiga as denúncias. 


Existe um plano de resposta à fraude. 


Existem servidores treinados para compor equipe de investigação. 


Os responsáveis por fraudes são identificados e punidos. 


Os prejuízos são identificados, valorados e recuperados. 


Os casos de fraudes são identificados, e as medidas tomadas e os resultados são divulgados. 


Divulga-se para servidores e partes interessadas que controles preventivos e 
detectivos estão em vigor, mas sem adentrar nas questões técnicas. 


Em | E 146 | Referencial de Combate a Fraude e Corrupção 


Anexo 13 — Exemplos de sinais de alerta 
Extraído e adaptado do National Audit Office (2008). 


Cada organização, pela sua singularidade, vai apresentar um conjunto específico de sinais de 
alerta. Cabe a ela o exercício de mapear os seus sinais de alerta. Como já dito, um sinal de 
alerta não necessariamente é uma fraude, mas apenas fornece possíveis sinais para uma frau- 
de. Ou seja, se um sinal de alerta é identificado, é preciso averiguar o que está acontecendo. 
Entretanto, o ideal é que o processo e o controle evitem essas ocorrências. 


Ainda que cada organização tenha o seu conjunto de sinais de alerta, alguns processos são 
comuns a muitas organizações e, portanto, muitos sinais de alerta são compartilhados. Abai- 
xo alguns exemplos de sinais de alerta em algumas atividades rotineiras. 


= Conluio entre licitantes nas compras públicas 
» Evidência ou indício de relação estreita entre licitantes; 
» Competição limitada no setor; 
» Todas as propostas são bem acima do orçamento da licitação; 
» Empresas esperadas não dão lances; 
» Vencedor da licitação subcontrata licitante perdedor ou não licitante; 
» Existe um padrão nos lances vencedores e perdedores; 
» Apenas um licitante atende às especificações, os demais apresentam propos- 
tas falhas. 


= Conluio entre comprador e licitante 
» O pessoal responsável pelas compras tem relação com o licitante vencedor; 
» O licitante oferece presentes ou benefícios para o comprador; 
» Especificação da licitação identifica o produto do licitante vencedor; 
» Especificação do contrato altera após o licitante favorecido ser contratado; 
» Desqualificação de licitante sem razão motivada; 
» Contrato adjudicado à empresa desconhecida; 
» Licitantes perdedores manifestam-se publicamente contra a licitação. 


= Fornecedor único 
» Excesso de dispensa de licitação; 
» Uma empresa é favorecida; 
» Empresa sem histórico no ramo. 


Referencial de Combate a Fraude e Corrupção | 147 m E | e | 


"a bel ANEXOS Oie Le Pe ie ie LD e Li Pi 


= Execução contratual 
» Aceite de faturas sem a fiscalização adequada; 
» Excesso de lucro ou falta de transparência da margem líquida; 
» Modelo do contrato deixa margem para manipulação da medição; 
» Evidência de baixo desempenho por meio de dados públicos, denúncias, pesqui- 
sa de satisfação ou notícias; 
» Sanções não aplicadas mesmo com o baixo desempenho; 
» Pouco contato entre contratante e contratado. 


=" Sistemas de pagamento 
» À mesma pessoa que lança o pagamento autoriza; 
» Aumento de ressarcimento ou pagamento para indivíduos; 
» Transações feitas em horários e frequências estranhas, valores inusuais ou para 
destinatários excêntricos. 
» Controle interno que não é aplicado ou comprometido por pessoas mais experientes; 
» Discrepância nos registros contábeis e reconciliação com itens inexplicáveis; 
» Excesso de créditos suspeitos; 
» Ativo físico extraviado; 
» Evidência de alteração em documentos ou duplicações. 


= Controles internos 
» Conflito de interesse no processo. Uma pessoa tem o controle do processo do 
começo ao fim; 
» Conluio de servidores, onde há pouco ou nenhuma supervisão; 
» Manipulação deliberada de demonstrações financeiras e/ou extravio dos arquivos 
de auditoria. 
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